Kernpunkte:
- Datenschutz für Mieterinnen und Mieter
- Datenschutz im Verein
- Beschäftigtendatenschutz
- Meldepflichtige Datenpannen
5 Datenschutz in der Wirtschaft
5.1 Entschließung der DSK zur (Nicht-)Anwendbarkeit des TMG neben der DSGVO
Mitgliedstaatliche datenschutzrechtliche Regelungen werden aufgrund des Anwendungsvorrangs der DSGVO grundsätzlich durch diese verdrängt, wenn es keine spezifischen Regelungen gibt, die ein Fortbestehen bereits existierender Regelungen anordnen oder Öffnungsklauseln Spielräume zur mitgliedstaatlichen Ausgestaltung offenlassen bzw. vorgeben. Die DSGVO enthält eine Kollisionsregel zum Verhältnis der DSGVO zur E-Privacy-Richtlinie . Danach werden natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union durch die DSGVO keine zusätzlichen Pflichten auferlegt, soweit sie besonderen, in der E-Privacy-Richtlinie festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen.
Richtlinien bedürfen im Unterschied zu Verordnungen der Umsetzung durch die Mitgliedstaaten. Grundsätzlich entfaltet erst das in Umsetzung der Richtlinie geschaffene mitgliedstaatliche Recht Rechtswirkung gegenüber Einzelnen. Eine Richtlinie selbst kann keine Verpflichtungen für Einzelne begründen. Die Kollisionsregel in der DSGVO umfasst daher die in Umsetzung der E-Privacy-Richtlinie erlassenen mitgliedstaatlichen Vorschriften. Dies betrifft vor allem die Regelungen des TKG, die als Umsetzung der E-Privacy-Richtlinie 2002/58/EG anzusehen sind. Durch die Richtlinie 2009/136/EG wurde der Anwendungsbereich der E-Privacy-Richtlinie ausgeweitet. Danach werden nicht lediglich Anbieter von öffentlichen Telekommunikationsdiensten, sondern auch Anbieter von „Diensten der Informationsgesellschaft“ angesprochen. Diese entsprechen den Diensten, die in Deutschland als Telemediendienste bezeichnet und durch das Telemediengesetz (TMG) reguliert werden. Spezielle datenschutzrechtliche Vorgaben finden sich im 4. Abschnitt des TMG. Diese können jedoch nur dann neben der DSGVO zur Anwendung kommen, wenn es sich dabei um Umsetzungen der E-Privacy-Richtlinie handelt und sie somit der Kollisionsregel der DSGVO unterfallen.
Das TMG ist nach wie vor in all seinen Bestandteilen in Kraft. Eine Anpassung der datenschutzrechtlichen Vorschriften des TMG an die DSGVO wurde nicht vorgenommen. Es stellte sich daher die Frage nach der Anwendbarkeit der datenschutzrechtlichen Vorschriften seit der Geltungserlangung der DSGVO.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vertritt hierzu – nach Vorlage eines Beschlussentwurfs der Unterarbeitsgruppe E-Privacy des Arbeitskreises Medien der DSK – folgende Position:
Im Verhältnis zum nationalen Recht kommt seit dem 25.05.2018 die DSGVO für sämtliche automatisierte Verarbeitungen personenbezogener Daten vorrangig zur Anwendung. Die Vorschrift des Artikels 95 DSGVO findet keine Anwendung auf die Regelungen im 4. Abschnitt des TMG. Denn diese Vorschriften stellen vorrangig eine Umsetzung der durch die DSGVO aufgehobenen Datenschutzrichtlinie dar und unterfallen, da sie auch nicht auf der Grundlage von Öffnungsklauseln in der DSGVO beibehalten werden dürfen, demgemäß dem Anwendungsvorrang der DSGVO. Hiervon betroffen sind damit auch etwaige unvollständige Umsetzungen der E-Privacy-Richtlinie in diesem Abschnitt, welche jedenfalls isoliert nicht mehr bestehen bleiben können.
Da auch eine unmittelbare Anwendung der E‑Privacy-Richtlinie in diesen Fällen nicht in Betracht kommt, kann sich die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Diensteanbieter von Telemedien folglich nur aus Art. 6 Abs. 1 DSGVO ergeben. Darüber hinaus sind die allgemeinen Grundsätze zur Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DSGVO sowie die besonderen Vorgaben z. B. aus Art. 25 Abs. 2 DSGVO (Datenschutz „by Default“) einzuhalten.
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder veröffentlichte diese Positionsbestimmung am 26.04.2018. Gleichzeitig wurde beschlossen, eine Konsultation von betroffenen Wirtschaftsverbänden und Unternehmen durchzuführen.
Nachdem diese stattgefunden hat, wird nun zur Erläuterung und Konkretisierung der Positionsbestimmung eine Ergänzung formuliert.
Die Stellungnahme ist unter dem folgenden Link abrufbar:
https://www.datenschutzkonferenz-online.de/media/ah/201804_ah_positionsbestimmung_tmg.pdf [Extern]
5.2 Neufassung des „Code of Conduct “ der Versicherungswirtschaft
Im Jahre 2012 war die Versicherungswirtschaft in Deutschland die erste Branche, die zur Förderung der Beachtung datenschutzrechtlicher Regelungen förmlich anerkannte Verhaltensregeln erlassen hat (34. TB, Tz. 5.1.3). Verhaltensregeln haben den Zweck, abstrakte Bestimmungen der Datenschutzgesetze mit Blick auf Abläufe in der Versicherungsbranche zu konkretisieren und zu ergänzen. Die förmliche Anerkennung der Verhaltensregeln erfolgte damals durch den Berliner Beauftragten für den Datenschutz und die Informationsfreiheit.
Auf Grundlage einer in den Verhaltensregeln enthaltenen Klausel sollte bei jeder den Regelungsinhalt betreffenden Rechtsänderung und spätestens fünf Jahre nach Abschluss der Überprüfung der Verhaltensregeln durch die zuständige Datenschutzaufsichtsbehörde eine Evaluierung stattfinden. Infolge des Stichtags für die Geltung der Datenschutz-Grundverordnung, dem 25.05.2018, und dem Ablauf der Evaluierungsfrist im Jahre 2017 bestanden gleich zwei Gründe, eine Überarbeitung der Verhaltensregeln vorzunehmen.
Die Versicherungswirtschaft unterbreitete den Datenschutzaufsichtsbehörden frühzeitig Entwürfe zur Änderung der bestehenden Verhaltensregeln. Näheres zur beabsichtigten neuen Ausgestaltung der Verhaltensregeln wurde durch das ULD in der Funktion als Vorsitz des Arbeitskreises der unabhängigen Datenschutzbehörden des Bundes und der Länder für die Versicherungsbranche mit den deutschen Datenschutzaufsichtsbehörden und der Versicherungswirtschaft in mehreren Sitzungsterminen erörtert. Die für die förmliche Anerkennung der Verhaltensregeln zuständige Berliner Beauftragte für den Datenschutz und die Informationsfreiheit kam mit Abschluss der Erörterungen zu dem Ergebnis, dass die Vorgaben der Datenschutz-Grundverordnung für die Versicherungswirtschaft branchenspezifisch konkretisiert wurden. Diese Einschätzung wird auch vom ULD geteilt.
„Code of Conduct
“ der Versicherungswirtschaft
Das Regelungswerk ist unter
folgendem Link abrufbar:
https://uldsh.de/bl4d8u
Die förmliche Anerkennung der neuen Verhaltensregeln durch die Berliner Beauftragte für den Datenschutz und die Informationsfreiheit wurde bisher noch nicht vorgenommen, da restliche Fragen zur Einsetzung einer zusätzlichen Kontrollstelle nach den Vorgaben der Datenschutz-Grundverordnung noch geklärt werden müssen. Demnach kann die Überwachung der Einhaltung der Verhaltensregeln unbeschadet der Aufgaben und Befugnisse der Aufsichtsbehörden von einer Stelle durchgeführt werden, die über das geeignete Fachwissen hinsichtlich des Gegenstandes der Verhaltensregeln verfügt und die von der zuständigen Aufsichtsbehörde zu diesem Zweck akkreditiert wurde. Verhaltensregeln sehen wiederum Verfahren vor, welche es jener Kontrollstelle ermöglichen, die obligatorische Überwachung der Einhaltung der Verhaltensregeln vorzunehmen. Bis zur Klärung der damit im Zusammenhang stehenden Fragen verwendet die Versicherungswirtschaft die Verhaltensregeln als interne Bestimmungen.
Angepasst wurden etwa Regelungen zur Einwilligung und zum Umgang mit besonderen Datenkategorien wie Gesundheitsdaten, zu den Informationspflichten gegenüber betroffenen Personen, zur gemeinsamen Verantwortung von zwei oder mehreren Unternehmen, zu den Rechten betroffener Personen wie z. B. Auskunft, Berichtigung, Einschränkung der Verarbeitung und Datenübertragbarkeit, zur Datenschutz-Folgenabschätzung, zur Benennung von Datenschutzbeauftragten und zur Meldung von Datenschutzverstößen.
5.3 Neufassung der Orientierungshilfe „Selbstauskünfte für Mietinteressenten “
Infolge der Geltung der Datenschutz-Grundverordnung und der Berücksichtigung neuerer Rechtsprechung wurde eine Überarbeitung der Orientierungshilfe „Selbstauskünfte für Mietinteressenten“ erforderlich. Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben die entsprechende Neufassung gemeinsam erörtert und beschlossen.
Vor der Vermietung von Wohnraum werden von den Mietinteressenten verschiedene personenbezogene Angaben erhoben, wobei nur solche Daten verarbeitet werden dürfen, für die der Vermieter berechtigte Interessen vorweisen kann oder sich eine Erforderlichkeit der Datenerhebung für die Durchführung des Mietvertrags ableiten lässt. Es kann zwischen drei Zeitpunkten differenziert werden, nämlich dem Besichtigungstermin, der vorvertraglichen Phase, in welcher der Mietinteressent dem künftigen Vermieter mitteilt, eine bestimmte Wohnung anmieten zu wollen, und dem Stadium, in welchem die Entscheidung über den auszuwählenden Mietinteressenten fallen soll. Im Rahmen dieser drei Zeitpunkte kann die Erhebung bestimmter Angaben zulässig sein (35. TB, Tz. 5.4).
Wesentliche Ergänzungen wurden in der Orientierungshilfe insbesondere im Rahmen des Stadiums vorgenommen, in welchem der Vermieter sich für einen Mietinteressenten entscheidet. Fragen zu Kontaktinformationen aktueller oder früherer Vermieter der Mietinteressenten sind zunächst mangels einer Erforderlichkeit zur Durchführung des Mietverhältnisses unzulässig. Erfragt werden dürfen aber Angaben zur Erfüllung mietvertraglicher Pflichten, sofern diese Aufschluss über die Zahlungsfähigkeit der Mietinteressenten geben. Solche Angaben können sich etwa auf die Zahlung der vereinbarten Miete und der Nebenkosten beziehen. Auch Fragen nach Pflichtverletzungen aus dem bisherigen Mietverhältnis über Wohnraum können zulässig sein, allerdings unter der Bedingung, dass die Pflichtverletzung eine Kündigung rechtfertigt und solche Pflichtverletzungen für die Zukunft zu erwarten sind. Die Kündigung muss u. a. rechtskräftig oder in tatsächlicher Hinsicht unbestritten sein.
Bezüglich der Anforderung einer Selbstauskunft der Mietinteressenten ist zu berücksichtigen, dass diese nach der Rechtsprechung nicht verpflichtet sind, eine Mietschuldenfreiheitsbescheinigung zu erstellen. Daher kann eine solche Bescheinigung vom Mietinteressenten bei der beabsichtigten Neuanmietung von Wohnraum nicht verlangt werden. Zulässig wäre es hingegen, vom Mietinteressenten wahlweise entweder von Vorvermietern geschuldete Quittungen über empfangene Zahlungen oder geschwärzte Kontoauszüge und Mietverträge als Beleg zu geleisteten Mietzahlungen an Vorvermieter sowie zur Höhe des Mietzinses und damit zum Nachweis einer bestehenden Bonität zu erbitten.
Bereits in der Erstfassung der Orientierungshilfe wurde erläutert, dass die Einholung von Einwilligung en der Mietinteressenten zur Erhebung von Angaben nicht das richtige Mittel für den Vermieter darstellt. Die Freiwilligkeit von Einwilligungserklärungen als zentrales Wirksamkeitskriterium hat mit Geltung der Datenschutz-Grundverordnung nochmals besonderes Gewicht erhalten. Demnach läge im Bereich der Anmietung von Wohnraum keine freiwillige und damit unwirksame Einwilligungserklärung vor, wenn der Abschluss des Mietvertrags von der Einwilligung in die Erhebung nicht erforderlicher Angaben abhängig gemacht wird.
Orientierungshilfe „Selbstauskünfte für Mietinteressenten“:
www.datenschutzkonferenz-online.de/media/oh/20180207_oh_mietauskuenfte.pdf
Was ist zu tun?
Vermieter von Wohnraum dürfen von
Mietinteressenten nur erforderliche Angaben erheben. Personenbezogene Daten,
für die berechtigte Vermieterinteressen bestehen, dürfen nur erhoben werden,
wenn die Gesamtabwägung mit schutzwürdigen Mietinteressenten dies rechtfertigt.
Im Falle der Verwendung von Vermieterfragebögen sind die Maßgaben der
Orientierungshilfe einzuhalten.
5.4 Interessante Einzelfälle
5.4.1 Juristische Personen als Datenschutzbeauftragte ?
Vorbehaltlich einer künftigen Klärung der Frage durch die Rechtsprechung wird vorliegend die Auffassung vertreten, dass nur natürliche Personen als Datenschutzbeauftragte benannt werden können. Etwa die Benennung einer GmbH selbst als Datenschutzbeauftragte ist demnach nicht statthaft. Diese GmbH könnte aber die Dienste ihrer Mitarbeiter als Datenschutzbeauftragte anbieten, die dann von anderen Unternehmen entsprechend benannt werden.
Die Datenschutzaufsichtsbehörden auf europäischer Ebene gehen in Auslegung der Datenschutz-Grundverordnung davon aus, dass u. a. Unternehmen mit einer anderen Stelle (natürliche oder juristische Person) einen Dienstleistungsvertrag schließen können. Dieser Vertrag hat aber nicht die Benennung dieser anderen Stelle selbst als Datenschutzbeauftragte zum Gegenstand. Stattdessen soll der Vertrag vorsehen, welche natürlichen Personen allein oder als „Team“ die Funktion eines Datenschutzbeauftragten übernehmen sollen. Der zugrunde liegende Dienstleistungsvertrag soll nicht ohne Weiteres von einem Verantwortlichen oder Auftragsverarbeiter gekündigt werden können. Den natürlichen Personen, die auf Basis des Vertrags als Datenschutzbeauftragte eingesetzt werden, komme eine Art arbeitsrechtlicher Kündigungsschutz zu, indem diese vor ungerechtfertigten Entlassungen durch deren Arbeitgeber geschützt seien.
Daher wird durch die Aufsichtsbehörden auf europäischer Ebene nicht die Aussage getroffen, dass juristische Personen selbst als Datenschutzbeauftragte in Betracht kommen. Vielmehr wird die Konstellation erörtert, wonach etwa eine juristische Person einen Dienstleistungsvertrag mit einem Verantwortlichen oder Auftragsverarbeiter schließt. Diese juristische Person beschäftigt wiederum natürliche Personen, welche letztlich die Funktion eines Datenschutzbeauftragten für den Verantwortlichen oder Auftragsverarbeiter wahrnehmen sollen.
Leitlinien in Bezug
auf Datenschutzbeauftragte
Hinweise der europäischen
Datenschutzaufsichtsbehörden zur Benennung von Datenschutzbeauftragten (WP
243) können unter folgendem Link aufgerufen werden:
www.datenschutzkonferenz-online.de/media/wp/20170405_wp243_rev01.pdf
Datenschutzbeauftragte werden auf der Grundlage ihrer beruflichen Qualifikation und insbesondere des Fachwissens benannt, welches diese auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis erworben haben. Ferner kann die oder der Datenschutzbeauftragte Beschäftigte oder Beschäftigter des Verantwortlichen oder Auftragsverarbeiters sein oder die Aufgaben auf Grundlage eines Dienstleistungsvertrags erfüllen. Die besseren Argumente sprechen dabei für die ausschließliche Benennung natürlicher Personen. Vor allem das Abstellen auf die berufliche Qualifikation legt den Schluss nahe, dass die erforderliche Befähigung im Rahmen einer Berufsausbildung bzw. eines Studiums erworben wurde, was nur durch natürliche Personen erfolgen kann.
Zwar können die Vorgaben des deutschen Datenschutzrechts im Bundesdatenschutzgesetz nicht zur Auslegung der Datenschutz-Grundverordnung herangezogen werden. Unabhängig davon kann auch aus diesen Vorgaben abgeleitet werden, dass nur Menschen als Datenschutzbeauftragte benannt werden sollen. So beziehen sich jene Vorgaben etwa auf die Anwendung arbeitsrechtlicher Kündigungsregeln und auf die Zubilligung eines Zeugnisverweigerungsrechts, was nur bei der Benennung natürlicher Personen als Datenschutzbeauftragte von Bedeutung sein kann (36. TB, Tz. 5.3).
Die Kontaktdaten der Datenschutzbeauftragten sind nach den Vorgaben der DSGVO an die zuständige Datenschutzaufsichtsbehörde zu melden. Ein Meldeformular wird unter folgendem Link bereitgestellt:
www.datenschutzzentrum.de/formular/meldung-dsb.php
5.4.2 Benennung von Datenschutzbeauftragten – mindestens zehn beschäftigte Personen
Ergänzend zu den Vorgaben der Datenschutz-Grundverordnung müssen nichtöffentliche Stellen wie Unternehmen insbesondere dann einen Datenschutzbeauftragten benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Im Vergleich zur Rechtslage vor der Geltung der Datenschutz-Grundverordnung sind insoweit keine Änderungen eingetreten.
Für die Vorgängervorschrift im alten Bundesdatenschutzgesetz hatte der Gesetzgeber die Intention, eine „Beschäftigung“ von Personen nicht nur für Arbeitnehmer, sondern etwa auch für Auszubildende und freie Mitarbeiter anzunehmen. Gerade freie Mitarbeiter waren daher bei der Beurteilung der Frage, ob „mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden“, mitzuzählen. Diese Intention hat sich mit der Geltung der Neuregelung seit dem 25.05.2018 nicht geändert, zumal der Gesetzgeber auch vom Wortlaut her gesehen die Altregelung übernommen hat.
Personen, welche Zugriff auf Kundendatenbanken nehmen, etwa vertragliche Unterlagen einsehen können, Personaldaten verwalten oder in automatisierter Form personenbezogene Daten verarbeiten, welche z. B. über die Lebensumstände von Einzelpersonen Auskunft geben, müssen bei der Frage der Verpflichtung zur Benennung eines Datenschutzbeauftragten mitgezählt werden (10-Personen-Regel nach § 38 Abs. 1 BDSG). Mitarbeiterinnen und Mitarbeiter an Kassen, die lediglich eine EC- oder Kundenkarte einlesen, jedoch nicht auf eine Kundendatenbank mit Daten zugreifen oder gegebenenfalls nur manuell die Kontodaten auf der Karte in Augenschein nehmen, jedoch nicht in automatisierter Form zur Kenntnis nehmen können, insbesondere nicht nach Abschluss des Bezahlvorgangs, sind nicht mitzuzählen.
Fragen zur Anwendung der 10-Personen-Regel wurden an das ULD häufig auch im Zusammenhang mit der Beauftragung von Monteuren in Handwerksbetrieben herangetragen. Erhalten die Monteure lediglich die Kontaktdaten der Kunden sowie Angaben zur Ausführung eines Auftrags, der vor Ort erledigt werden soll, so sind diese Personen nicht mitzuzählen. Diese Einschätzung beruht auf der Annahme, dass in diesen Fällen nur sehr wenige personenbezogene Daten flüchtig zur Kenntnis genommen werden, dies oft nicht in automatisierter Form erfolgt und entsprechende Angaben nicht im dauerhaften Zugriff der Monteure verbleiben. Anders wäre der Sachverhalt wiederum zu beurteilen, wenn die Monteure einen Zugriff auf eine Kundendatenbank erhalten und etwa dauerhaft Auftragshistorien abrufen können. Im letzteren Fall wären die Monteure im Rahmen der Prüfung der 10-Personen-Regel mitzuzählen.
Häufig wurde im Berichtszeitraum auch von Sportvereinen nachgefragt, ob bei der Prüfung, ob tatsächlich mindestens zehn Personen beschäftigt werden, die automatisiert mit personenbezogenen Daten arbeiten, Personen hinzugezählt werden müssen, die z. B. auf Datenbanken mit Angaben zu Mitgliedern und Sportlerinnen und Sportlern bestimmungsgemäß Zugriff nehmen. Verarbeiten Trainer Spielerdaten wie etwa Trainings- und Wettkampfergebnisse, Kontaktdaten der Spieler, Angaben zum Gesundheitszustand, zum Muskelaufbau und zur Ernährung, so sind auch diese hinzuzuzählen. Sportvereine müssen dabei den Überblick darüber haben, welche Mitglieder welche personenbezogenen Daten der Sportlerinnen und Sportler verarbeiten und zu Datenzugriffen autorisiert sind, um die Verpflichtung zur Benennung eines Datenschutzbeauftragten prüfen zu können.
Im Rahmen der Praxis-Reihe „Datenschutzbestimmungen praktisch umsetzen“ ist u. a. auch eine Broschüre zur Benennung von Datenschutzbeauftragten erschienen, die über folgenden Link aufgerufen werden kann:
www.datenschutzzentrum.de/uploads/praxisreihe/Praxisreihe-2-Datenschutzbeauftragte.pdf
5.4.3 Erforderlichkeit der Benennung von Datenschutzbeauftragten in Kindertagesstätten
Bei Kindertagesstätten (Kitas) handelt es sich unabhängig von der Trägerschaft um eigenständige Verantwortliche im Sinne der DSGVO. Für die rechtmäßige und ordnungsgemäße personenbezogene Datenverarbeitung ist die jeweilige Leitung der Kindertagesstätte zuständig.
Welche datenschutzrechtlichen Vorschriften für die personenbezogene Datenverarbeitung anzuwenden sind, richtet sich nach der jeweiligen Trägerschaft. Für alle Kitas gilt zunächst die DSGVO. Ergänzend dazu finden für Kitas in kommunaler Trägerschaft primär die Vorschriften des Landesdatenschutzgesetzes (LDSG), für Kitas in privater Trägerschaft (Träger der freien Jugendhilfe, Elternvereine usw.) das Bundesdatenschutzgesetz (BDSG) und für Kitas in kirchlicher Trägerschaft die jeweiligen Datenschutzgesetze der Kirchen Anwendung.
Bei Kitas in kommunaler Trägerschaft ist die Benennung eines Datenschutzbeauftragten schon nach Art. 37 Abs. 1 Buchst. a DSGVO erforderlich. Danach haben alle Behörden und öffentlichen Stellen einen Datenschutzbeauftragten zu benennen. Eine kommunale Kita ist zwar in der Regel organisatorisch verselbstständigt. Rechtlich ist sie aber ein Teil der Kommune und damit Teil einer öffentlichen Stelle. Nach Art. 37 Abs. 3 DSGVO kann für mehrere öffentliche Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden. Daher kann z. B. der Datenschutzbeauftragte der Kommune auch Datenschutzbeauftragter der kommunalen Kita sein. Wenn für die Kita kein gesonderter Datenschutzbeauftragter benannt wurde, geht das ULD davon aus, dass der kommunale DSB auch für die kommunalen Kitas zuständig ist.
Bei Einrichtungen in privater Trägerschaft geht das ULD davon aus, dass ein Fall von Art. 37 Abs. 1 Buchst. b DSGVO gegeben ist. Nach dieser Vorschrift ist ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
Zur Kerntätigkeit eines Verantwortlichen gehören alle Vorgänge, die einen festen Bestandteil seiner Haupttätigkeit darstellen. In Schleswig-Holstein ist das systematische Beobachten und Dokumentieren der kindlichen Entwicklung Bestandteil der Arbeit der Erzieherinnen und Erzieher. Bereits im Jahr 2006 hat die Landesregierung dazu die Broschüre „Systematisches Beobachten und Dokumentieren“ herausgegeben. Im Vorwort heißt es dort: „Im Mittelpunkt des gesetzlichen Auftrages der Kindertageseinrichtungen (…) steht das aktive und lernbereite Kind, dessen Bildungsweg in der Kindertageseinrichtung durch eine individualisierte und differenzierte Erziehungsarbeit unterstützt, angeregt und gefordert werden soll. Beobachtung und eine darauf aufbauende Bildungsdokumentation nehmen deswegen einen zentralen Stellenwert ein. Sie sind notwendig, um Kinder und ihre Lernprozesse zu verstehen. Beobachtungen müssen kontinuierlich stattfinden und schriftlich festgehalten werden, um sie als Grundlage von Gesprächen mit dem Team, den Eltern und der Grundschule nutzen zu können.“
Daraus ergibt sich, dass die Dokumentation zur Kerntätigkeit der Erzieher und Erzieherinnen gehört. Dabei ist es unerheblich, ob diese Dokumentation in elektronischer oder konventioneller Form geführt wird.
Eine weitere Voraussetzung für die Benennungspflicht nach der oben genannten Vorschrift war weiterhin, dass die Beobachtungs- und Entwicklungsdokumentation als „umfangreiche regelmäßige und systematische Beobachtung“ im Sinne von Art. 37 Abs. 1 Buchst. b DSGVO zu qualifizieren ist. Mit der Dokumentation in den Kindertagesstätten sollen die Entwicklungsfortschritte, Verhaltensänderungen und das Sozialverhalten der Kinder festgehalten werden. Die Informationen werden den Eltern, aber auch (nach schriftlicher Einwilligung der Eltern) den Schulen zur Verfügung gestellt. Die Dokumentation zeigt den Verlauf der Entwicklungsschritte der Kinder und ist somit geeignet, die geistige, sprachliche und motorische Entwicklung, die Vorlieben, Interessen und das Verhalten der Kinder zu analysieren. Damit handelt es sich nach Auffassung des ULD bei der Dokumentation um eine entsprechende Beobachtung, die eine Benennungspflicht nach Art. 37 Abs. 1 Buchst. b DSGVO auslöst.
Unabhängig davon kann sich die Pflicht zur Benennung eines Datenschutzbeauftragten auch aus § 38 Abs. 1 BDSG ergeben. Dies ist der Fall, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei der Personenzahl sind sämtliche Erzieher und Erzieherinnen zu berücksichtigen, die die Entwicklung der Kinder dokumentieren. Geschieht dies automatisiert, so liegt nach unserer Einschätzung auch nach § 38 Abs. 1 BDSG die Pflicht zur Benennung eines Datenschutzbeauftragten vor.
Die Benennung eines gemeinsamen Datenschutzbeauftragten wäre auch für private Kitaträger zulässig. Denkbar wäre auch die gemeinsame Benennung von Datenschutzbeauftragten durch kommunale und private Träger. Dabei muss in jedem Fall sichergestellt werden, dass den gemeinsam benannten Datenschutzbeauftragten ausreichend Zeit zur Verfügung steht, um ihrer Aufgabe im Hinblick auf alle beteiligten Kitas nachkommen zu können.
Was ist zu tun?
Für Kindertagesstätten ist
regelmäßig ein Datenschutzbeauftragter zu benennen.
5.4.4 Steuerberater als Auftragsverarbeiter ?
Im Kurzpapier Nr. 13 der Datenschutzkonferenz wird ausgeführt, dass die Einbeziehung eines Steuerberaters bezüglich der Verarbeitung personenbezogener Daten in der Regel keine Auftragsverarbeitung darstellt. DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren werden hingegen als Anwendungsbeispiel für eine Auftragsverarbeitung aufgeführt.
Stellungnahme
der Datenschutzkonferenz
Das erwähnte
Kurzpapier Nr. 13 zur Einbindung von Auftragsverarbeitern kann unter folgendem
Link aufgerufen werden:
www.datenschutzzentrum.de/artikel/1205-.html
Steuerberater und Steuerbevollmächtigte üben ihren Beruf nach den Vorgaben des Steuerberatergesetzes insbesondere unabhängig und eigenverantwortlich aus, sodass eine für die Auftragsverarbeitung nach Artikel 28 DSGVO erforderliche weisungsgebundene Tätigkeit regelmäßig nicht in Betracht kommt. Werden im Zusammenhang mit der Lohnbuchhaltung auch die Lohnkonten eingerichtet und lohnsteuerrechtliche Abschlussarbeiten zum Jahresende erbracht, sind auch besondere steuerrechtliche Kenntnisse erforderlich, die eine Beratung durch den Steuerberater notwendig machen können.
Näheres zur Differenzierung zwischen den verschiedenen Tätigkeiten im Zusammenhang mit der Lohnbuchhaltung hat das Bundesverfassungsgericht bereits in der Vergangenheit entschieden. Für die laufende Lohnbuchhaltung wurden dabei hingegen keine besonderen steuerrechtlichen Kenntnisse gefordert, da nach Auffassung des Gerichts es in diesem Bereich um die Erledigung von Routinearbeiten geht, die mehr ein korrektes Rechnen und den sachgemäßen Umgang z. B. mit Lohnsteuertabellen umfassen. Für die laufende Lohnbuchhaltung besteht damit bekanntlich auch kein Buchführungsprivileg für steuerberatende Berufe. Hilfeleistungen in der laufenden Lohnbuchhaltung sind demnach nicht den steuerberatenden Berufen vorbehalten.
Würde ein Steuerberater nun im Einzelfall ausschließlich Aufgaben der laufenden Lohnbuchhaltung wahrnehmen (kein Einrichten von Lohnkonten, keine Abschlussarbeiten bzw. keine beratende Tätigkeit), so bleiben die allgemeinen Berufspflichten nach dem Steuerberatungsgesetz natürlich bestehen. Andererseits besteht bei der Ausführung des Auftrags auch kein nennenswerter eigener Entscheidungsspielraum. Es kommt im Wesentlichen darauf an, dass routinemäßig eine korrekte Berechnung erfolgt, etwa anhand von Bruttolohn und Lohnzahlungszeitraum, Kürzung um Freibeträge, Berücksichtigung von Familienstand, Kinderzahl und Steuerklasse usw. In diesem Kontext spricht einiges dafür, eine Auftragsverarbeitung anzunehmen. Die Annahme einer weisungsgebundenen Tätigkeit liegt auch nicht fern, da der Mandant die Lohndaten seiner Mitarbeiter dem Steuerberater dann für die laufende Lohnbuchhaltung zugänglich macht, um (lediglich) ein korrektes Berechnungsergebnis zu erhalten. Entsprechende Tätigkeiten sind vergleichbar mit der Wahrnehmung der laufenden Lohnbuchhaltung durch Personen außerhalb der steuerberatenden Berufe (kaufmännische Berufe nach den gesetzlichen Vorschriften zur Berufsausbildung).
In der Praxis dürfte sich aber die Frage stellen, ob ein
Steuerberater tatsächlich nur bzw. ausschließlich mit Aufgaben der laufenden
Lohnbuchhaltung beauftragt wird. Regelmäßig wird hier durch den Steuerberater
zusätzlich eine Beratung durchgeführt, die mit der Einrichtung der Lohnkonten
und den erwähnten Abschlussarbeiten im Zusammenhang steht. In all diesen
Fällen wird keine Auftragsverarbeitung angenommen werden können.
Steuerberatern steht im Übrigen nach § 11 des Steuerberatungsgesetzes
eine besondere Rechtsgrundlage zur Erhebung und Verwendung personenbezogener
Daten zu.
5.4.5 Einholung von Selbstauskünften von Mietinteressenten
Wie bereits unter Tz. 5.3 (Neufassung der Orientierungshilfe „Selbstauskünfte von Mietinteressenten“) erläutert, erheben Vermieter bereits vor der Vermietung von Wohnraum persönliche Angaben von Mietinteressenten, um auf deren Basis eine Entscheidung über den Vertragsabschluss treffen zu können. Im Sommer 2017 ging beim ULD eine anonyme Beschwerde über einen sogenannten Bewerberbogen ein, der von einem Wohnungsunternehmen an potenzielle Mietinteressenten ausgehändigt wurde.
Im Rahmen einer Selbstauskunft sollte der Mietinteressent bereits vor der Besichtigung einer Wohnung Auskunft über seine Nationalität, über die Kontaktdaten zu seinem bisherigen Vermieter und seinem Arbeitgeber, seine Beschäftigungsdauer, seinen Pkw und gegebenenfalls sein Krad inklusive Kennzeichen und KFZ-Marke und zu seiner Vermögenssituation inklusive Haus- und Grundbesitz erteilen. Darüber hinaus wurde um Angabe seiner vollständigen Bankdaten, um Angabe zu bestehenden Schulden sowie bei Auszubildenden um Angabe der Arbeitgeber der Eltern und Höhe der Einkommen der Eltern gebeten.
Es wurde daraufhin ein Verfahren eingeleitet, in dessen Rahmen zunächst das aufsichtsbehördliche Auskunftsverlangen durch die Verhängung eines Zwangsgeldes gegen das Wohnungsunternehmen durchgesetzt werden musste. Im weiteren Verlauf des Verfahrens wurde klargestellt, dass die Verwendung von Einwilligungserklärungen gegenüber Mietinteressenten in Formularen zur Selbstauskunft nicht das richtige Mittel zur Datenerhebung ist. Für eine wirksame Einwilligung ist eine freie Entscheidung der betroffenen Person erforderlich. Wird der Abschluss eines Mietvertrags von der Erhebung bestimmter Angaben bei Mietinteressenten abhängig gemacht, entsteht eine Zwangslage, in welcher keine freiwillige und damit wirksame Einwilligungserklärung zustande kommen kann.
Vermieter haben jedoch die Möglichkeit, ein „berechtigtes Interesse“ an der Beantwortung einzelner Fragen geltend zu machen, um eine Basis für eine Entscheidung über einen möglichen Mietvertragsabschluss schaffen zu können. In diesem Zusammenhang dürfen jedoch nur solche Daten erhoben werden, die zur Durchführung des Mietvertrags „erforderlich“ sind. Auf Basis einer Interessenabwägung muss dabei das Recht der Mietinteressenten auf informationelle Selbstbestimmung Beachtung finden.
Bezüglich der Zulässigkeit einer Datenerhebung bei Mietinteressenten ist zwischen dem Besichtigungstermin, der vorvertraglichen Phase, in welcher die Mietinteressenten dem künftigen Vermieter mitteilen, eine konkrete Wohnung anmieten zu wollen, und der Entscheidung des künftigen Vermieters für einen bestimmten Mietinteressenten zu unterscheiden. In der ersten Phase des Besichtigungstermins dürfen lediglich Angaben zur Identifikation und Angaben aus dem Wohnberechtigungsschein erhoben werden.
In dem vorliegenden Fall konnte das verantwortliche Wohnungsunternehmen davon überzeugt werden, dass der bisher genutzte Bewerberbogen entsprechend überarbeitet werden muss und zukünftig nur solche Daten erhoben werden, die zur Durchführung der jeweiligen Phase erforderlich sind.
5.4.6 Klingelbretter – Verarbeitung von Namensschildern durch die Wohnungswirtschaft
Auch das ULD war mit Fragen zur Verarbeitung von Vor- und Nachnamen auf Klingelschildern befasst. Die Thematik hatte durch eine Untersagung der Verarbeitung in Österreich auch in den Medien und bei betroffenen Personen für Aufregung gesorgt. Die Wiener Wohnungsbaugesellschaft hatte sich nach Zustellung einer behördlichen Anordnung dazu entschlossen, die Namensschilder an Klingelbrettern abzumontieren und durch Nummern zu ersetzten. Gleiches wurde für Unternehmen der Wohnungswirtschaft in Deutschland befürchtet.
Die Verwendung von Namensschildern für Klingelanlagen in Mehrfamilienhäusern durch die Wohnungswirtschaft unterfällt den Regelungen der DSGVO, wenn es sich dabei um eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten handelt oder eine nicht automatisierte Verarbeitung vorliegt, wobei die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Nun handelt es sich bei den Namen von betroffenen Personen um personenbezogene Daten.
Im Fokus der datenschutzrechtlichen Betrachtung stand in diesem Fall vielmehr die Frage, ob das Unterhalten der Klingelbretter einen datenschutzrechtlichen Verarbeitungsvorgang darstellt. Eine automatisierte Verarbeitung liegt in den Fällen vor, in denen die Verwaltung der Klingelschilder elektronisch erfolgt. Dies ist derzeit noch in den allerwenigsten Situationen der Fall. Meist wird ein Namensschild aus Papier oder einem anderen Material erstellt und auf das Klingelbrett oder hinter einem dafür vorgesehenen Sichtfenster angebracht. Erfolgt die Verarbeitung nicht automatisiert aus einem Mieterverzeichnis heraus, handelt es sich in der Regel um ein Ordnungssystem, in dem die Namen der betroffenen Personen einer bestimmten Wohnung zugeordnet werden. Es handelt sich dann um eine strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, und damit um eine Datei im datenschutzrechtlichen Sinne.
Ist ein sachlicher Anwendungsbereich der DSGVO gegeben, so darf eine Verarbeitung durch die Wohnungswirtschaft u. a. nur dann erfolgen, wenn die betroffenen Personen in die Datenverarbeitung eingewilligt haben oder eine der anderen Rechtsgrundlagen der DSGVO erfüllt ist.
Ist die Beschriftung Teil des Mietvertrages und verpflichtet sich der Vermieter zur Unterhaltung des Klingelschildes oder wird er von den Eigentümern damit beauftragt, so kann die Verarbeitung auf der Grundlage des Mietvertrages erforderlich sein. Üblicherweise finden sich solche Regelungen aber nicht im Mietvertrag. Vielmehr bleibt es den Mietern überlassen, den Inhalt des Klingelschildes zu bestimmen. Ist dies der Fall, so kann die Beschriftung auf der Grundlage einer Einwilligung erfolgen. Für diesen Fall sind die in der DSGVO vorhandenen Vorgaben zur Einwilligung aus Artikel 7 DSGVO zu beachten. Weiterhin sind die Informationspflichten aus Artikel 13 DSGVO zu erfüllen.
Eine Erforderlichkeit der Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten wird bei Klingelschildern in der Regel nicht vorliegen. Denn das Interesse und die Wahrnehmung des informationellen Selbstbestimmungsrechts der betroffenen Person an der Bestimmung des Inhaltes des Klingelschildes werden gegenüber dem Interesse der Wohnungswirtschaft an einem einheitlichen Erscheinungsbild und der Sicherstellung der Erreichbarkeit von Einzelpersonen überwiegen.
In einem dem ULD vorliegenden Fall lag die Situation aber etwas anders, weil die betroffene Person vom Eigentümer der Wohnanlage die korrekte Beschriftung verlangte. Ist der Anwendungsbereich der DSGVO gegeben, besteht für den Vermieter auch die Pflicht, die personenbezogenen Daten auf den Klingelschildern sachlich richtig und erforderlichenfalls auf dem neuesten Stand zu führen. Hierzu sind gemäß Art. 5 Abs. 1 Buchst. d DSGVO alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“). Für die Vermieter bedeutet dies, dass die Beschriftung der Klingelschilder bei Auszug von Mietern zu entfernen und durch die Benennung der neuen Mieter zu ersetzen ist.
Näheres zur Verwendung von Vor- und Nachnamen auf Klingelschildern können Sie dem nachfolgenden Link entnehmen:
5.4.7 Missachtung von Rechten betroffener Personen durch werbende Unternehmen
Viele Menschen fühlen sich erheblich gestört, wenn sie von Unternehmen per Brief, E-Mail oder am Telefon beworben werden, obwohl sie dem Unternehmen zuvor keine ausdrückliche Einwilligung hierzu erteilt haben. Um zunächst Kenntnis über die dort gespeicherten Daten zu erhalten und eine zukünftige Werbung zu unterbinden, werden die Unternehmen regelmäßig mit Auskunfts- und Löschungsbegehren sowie Widerrufen konfrontiert, die grundsätzlich unverzüglich zu bearbeiten sind. Das ULD erhielt im Berichtszeitraum eine Vielzahl von Eingaben, in denen die Missachtung der Betroffenenrechte durch werbende Unternehmen beklagt wurde. In zahlreichen Fällen wurden die Anträge und Widerrufe nur sehr verzögert oder zum Teil auch gar nicht bearbeitet.
Mit Geltung der DSGVO sind alle detaillierten Regelungen des bisherigen Bundesdatenschutzgesetzes zur Verarbeitung von personenbezogenen Daten zum Zwecke der Werbung entfallen. Neben der Erhebung einer Einwilligung kann die Verarbeitung von personenbezogenen Daten zum Zwecke der Werbung in bestimmten Fällen nunmehr auch auf Grundlage eines berechtigten Interesses erfolgen. Hierfür muss die Verarbeitung der entsprechenden Daten jedoch erforderlich sein, und es dürfen die schutzwürdigen Interessen der betroffenen Person nicht überwiegen. Die Datenschutz-Grundverordnung verlangt in diesem Zusammenhang eine Interessenabwägung, in der u. a. zu berücksichtigen ist, ob die betroffene Person vernünftigerweise erwarten kann, beworben zu werden. Hierbei ist beispielsweise zwischen Bestandskunden und Dritten zu unterscheiden, wobei jedoch im Rahmen der Datenerhebung immer auch eine entsprechende vorherige Information der Betroffenen über die vorgesehene Verarbeitung der Daten für Werbezwecke zu erfolgen hat und selbstverständlich auch die Rechte betroffener Personen zu beachten sind. Bei der Erhebung einer Einwilligung muss die betroffene Person über den Zweck der Verarbeitung und ihr bestehendes Widerrufsrecht in einer verständlichen Form und klaren, einfachen Sprache informiert werden.
Neben den datenschutzrechtlichen Vorschriften der Datenschutz-Grundverordnung haben die werbenden Unternehmen auch die Schutzvorschriften des Gesetzes gegen den unlauteren Wettbewerb zu berücksichtigen, welches insbesondere zwischen den verschiedenen Kontaktwegen unterscheidet und eine Telefonwerbung weiterhin nur mit einer ausdrücklichen Einwilligung erlaubt.
Näheres ergibt sich aus der im Rahmen der 96. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 7./8. November 2018 beschlossenen Orientierungshilfe über die Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung:
www.datenschutzkonferenz-online.de/media/oh/20181107_oh_werbung.pdf [Extern]
Die vom ULD eingeleiteten Aufsichtsverfahren haben in der Regel dazu geführt, dass die Unternehmen umgehend die entsprechenden Auskünfte erteilt, Daten gelöscht und Werbewidersprüche beachtet haben. In Einzelfällen wurden die verantwortlichen Mitarbeiterinnen und Mitarbeiter nachgeschult und interne Bearbeitungsprozesse angepasst. Die Vielzahl der Einzelfälle hat jedoch ebenfalls gezeigt, dass in einzelnen Unternehmen der Durchführung von Werbemaßnahmen erheblich mehr Beachtung geschenkt wird als der Einhaltung der datenschutzrechtlichen Vorschriften.
5.4.8 Offline-Tracking /Ortung von Mobiltelefonen in Fußgängerzone
Durch Beschwerden erlangte das ULD Kenntnis davon, dass in zwei Städten in Schleswig-Holstein Messungen von Besucherströmen innerhalb bestimmter öffentlicher Bereiche der Städte mittels sogenanntem Offline-Tracking durchgeführt werden.
Bei diesen Verfahren wird sich des Umstands bedient, dass mobile Endgeräte meist voreingestellt in regelmäßigen Abständen sogenannte „Probe Requests“ aussenden, die technisch dazu geeignet und bestimmt sind, über die WLAN-Schnittstelle des Endgeräts eine Verbindung zu einem Netzzugangspunkt (wie z. B. WLAN-Hotspots) zu erleichtern. Dabei werden Datenpakete ausgesendet, die u. a. die „Media Access Control (MAC)“-Adresse des Netzadapters des jeweiligen mobilen Endgeräts enthalten. Da sich die zur Messung der Besucherströme eingesetzten Geräte gegenüber den Endgeräten wie WLAN-Hotspots/Netzzugangspunkte verhalten, ohne tatsächlich einen Netzzugang bereitzustellen, können die von den Endgeräten ausgesendeten Datenpakete durch die eingesetzten Geräte erhoben und dann zwecks Analyse der Kundenströme weiterverarbeitet werden.
In beiden Fällen wurde ein aufsichtsbehördliches Verfahren eingeleitet und den Verantwortlichen (die – einmal als Verein, einmal als GmbH organisiert – jeweils zu Zwecken des Stadtmarketings tätig sind) im Rahmen der Anhörung die Rechtsauffassung des ULD mitgeteilt, wonach für das Erheben von MAC-Adressen im öffentlichen Raum zur Messung von Besucherströmen keine Rechtsgrundlage ersichtlich ist.
Dabei wird maßgeblich von folgenden Erwägungen ausgegangen: MAC-Adressen stellen personenbezogene Daten dar. Für die Erhebung von MAC-Adressen bedarf es daher einer Rechtsgrundlage. Eine Erhebung und weiter gehende Verarbeitung auf Grundlage einer Interessenabwägung ist nicht möglich, da eine Interessenabwägung im vorliegenden Fall zu einem Überwiegen der Interessen der betroffenen Personen führt.
Dies gilt vor allem aufgrund des Umstands, dass die Daten bei einem Verweilen bzw. Betreten öffentlicher Räume erhoben werden und dies ohne Kenntnis der betroffenen Personen stattfindet. Aufgrund der technischen Voreinstellungen mobiler Endgeräte haben betroffene Personen praktisch keine hinreichende Möglichkeit, die Aussendung und – damit einhergehend – die Verarbeitung ihrer personenbezogenen Daten zu unterbinden.
Stichprobenartige Tests haben ergeben, dass ein Unterbinden der Aussendung von „Probe Requests“ je nach eingesetztem Betriebssystem nicht ohne Weiteres bzw. nur schwer möglich ist. Bei einigen Betriebssystemen bzw. bestimmten Versionen hiervon konnte eine Aussendung erst unterbunden werden, als der sogenannte Flugmodus aktiviert wurde, d. h. global alle aktiven Funkverbindungen des Endgeräts deaktiviert wurden.
Es ist nicht davon auszugehen, dass es sich um allgemein zugängliche personenbezogene Daten handelt. Eine allgemeine Zugänglichkeit setzt nämlich voraus, dass Daten dazu geeignet und bestimmt sind, von der Allgemeinheit abgerufen werden zu können. Die Bestimmung über die Zugänglichkeit trifft derjenige, in dessen Hoheit die Daten zu verorten sind. Sofern es sich um MAC-Adressen und damit um personenbezogene Daten handelt, sind als Verfügungsberechtigte die betroffenen Personen anzusehen, denen die MAC-Adressen als personenbezogene Daten zuzurechnen sind.
Es mangelt an einer aktiven Entscheidung der betroffenen Personen, die MAC-Adressen öffentlich zugänglich zu machen. Darüber hinaus sind die „Probe Requests“ auch nicht dazu bestimmt, das Betreten bestimmter öffentlicher Räume zu dokumentieren, sondern einzig und allein dazu, eine Verbindung zu Netzzugangspunkten zu erleichtern.
Offline-Tracking in der E-Privacy-Verordnung?
In Entwürfen der
E-Privacy-Verordnung wird auch Offline-Tracking behandelt. Sollte sich der
Gesetzgeber dazu entschließen, dort Vorgaben zu machen, führt dies zu einer
Änderung der bis dahin geltenden Rechtslage.
Da die Geräte im öffentlichen Raum eingesetzt worden sind, kommt auch keine vertragliche oder vorvertragliche Beziehung der betroffenen Personen zur erhebenden verantwortlichen Stelle in Betracht. Auch Einwilligungserklärungen wurden von den betroffenen Personen nicht abgefordert, sodass keine Rechtsgrundlage ersichtlich ist, auf der eine Erhebung rechtskonform möglich ist.
Beide Verantwortlichen haben den Betrieb der Gerätschaften noch im laufenden aufsichtsbehördlichen Verfahren eingestellt. Die Verfahren wurden dann eingestellt.
5.4.9 Wirksamkeit von Einwilligung en bezüglich unverschlüsselter E-Mail -Kommunikation?
Durch eine Beschwerde gelangte dem ULD zur Kenntnis, dass ein Verantwortlicher Einwilligungserklärungen zur Versendung unverschlüsselter E-Mails einholt. Der Verantwortliche ist in einem Bereich tätig, in dem personenbezogene Daten mit einem erhöhten Schutzbedarf verarbeitet werden.
Die Nutzung von E-Mail-Kommunikation zur Verarbeitung personenbezogener Daten ist nur unter den Voraussetzungen, die die DSGVO aufstellt, zulässig. Das bedeutet, dass Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umzusetzen haben, um sicherzustellen und den Nachweis dafür erbringen zu können, dass eine Verarbeitung DSGVO-konform erfolgt. Dabei haben Verantwortliche u. a. den Stand der Technik zu berücksichtigen.
Der Verpflichtung, den Stand der Technik zu berücksichtigen und angemessene Schutzmaßnahmen einzurichten, kann sich ein Verantwortlicher nicht dadurch entziehen, dass er betroffenen Personen eine Erklärung dahin gehend abverlangt, dass diese eine Verarbeitung ohne angemessene Maßnahmen gutheißen.
Über die von der DSGVO explizit benannten besonderen Kategorien personenbezogener Daten hinaus gibt es Kategorien von personenbezogenen Daten, deren Verarbeitung aufgrund des ihnen anhaftenden Risikos für die Rechte und Freiheiten der betroffenen Personen einen erhöhten Schutzbedarf aufweisen. Dazu gehören z. B. Daten aus dem Bereich der Bankgeschäfte, sodass eine Übertragung von personenbezogenen Daten mit Bezug zu Bankgeschäften nach Auffassung des ULD nicht über einen unverschlüsselten Kommunikationskanal erfolgen darf, ohne Rücksicht darauf, ob die betroffene Person hierzu eventuell eine als Einwilligung bezeichnete Erklärung abgegeben hat. Eine solche Einwilligungserklärung ist unwirksam.
Nachdem der Verantwortliche im Rahmen eines aufsichtsbehördlichen Verfahrens auf diese Rechtsauffassung hingewiesen wurde, hat dieser erklärt, von den eingeholten Erklärungen keinen Gebrauch zu machen und keine weitere Erklärung dieser Art einzuholen.
Was ist zu tun?
Gerade Kreditinstitute sind
gehalten, bei der Kontaktaufnahme mit Kunden nicht Formulare bzw.
Vertragsklauseln zu verwenden, die den Kundinnnen und Kunden die Erklärung
abverlangen, hinsichtlich der Beratung zu oder der Abwicklung von
Bankgeschäften auf eine verschlüsselte und damit sichere Kommunikation zu
verzichten. Die Einhaltung der Regeln zur Datensicherheit ist nicht verhandelbar.
5.4.10 Löschung aller Daten einer Kategorie in Datenbank mangels Erforderlichkeit
Aufgrund einer Beschwerde wurde das ULD darauf aufmerksam, dass ein Kreditinstitut bei der Erhebung personenbezogener Daten in einer laufenden Geschäftsbeziehung eine Datenkategorie abgefragt hat, ohne zu überprüfen, ob diese Kategorie für die Geschäftsbeziehung erforderlich ist oder nicht.
Im konkreten Fall führte das Kreditinstitut für einen einzelnen Kunden ein Konto. Hinsichtlich der Kontoführung konnten vonseiten des Kunden keine besonderen Wünsche festgestellt werden. Insbesondere bat der Kunde nicht um die Gewährung eines Darlehens. Die Konditionen für die Kontoführung sollten nicht verändert werden.
Gleichwohl bat das Kreditinstitut den Kunden um Übermittlung seines Familienstandes. Im Rahmen der Prüfung des Sachverhalts stellte das ULD fest, dass der Kunde kein Gemeinschaftskonto mit seiner Ehefrau führt, infolgedessen auch nicht die Stellung gemeinsamer Freistellungsaufträge von Bedeutung war, der Kunde keine minderjährige Person ist und auch kein Kreditrahmen ausgeschöpft oder erweitert werden sollte.
Nach den Vorgaben der DSGVO müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Der Verordnungsgeber hat hierbei den Datenminimierungsgrundsatz normiert. Damit im Zusammenhang steht, dass nur die zur Zweckerfüllung erforderlichen personenbezogenen Daten erhoben werden dürfen. Bezüglich der Angabe des Familienstandes konnte nicht festgestellt werden, dass deren Verarbeitung für die weitere Kontoführung erforderlich ist.
Im Verlauf der Ermittlungen hat sich gezeigt, dass diese Erhebungspraxis nicht auf einen Einzelfall beschränkt war, sondern entsprechende Prozesse global implementiert waren. Das Kreditinstitut hat nach Mitteilung der Rechtsauffassung des ULD ihre Prozesse angepasst und verzichtet nun auf die Abfrage, Erhebung und Speicherung der Angabe in den Fällen, in denen die Erforderlichkeit dieser Angabe nicht festgestellt wurde.
Was ist zu tun?
Kreditinstitute
müssen stets prüfen, ob die Erhebung personenbezogener Daten von Kunden und
auch von Interessenten erforderlich ist, um etwa eine gesetzliche Vorgabe zu
erfüllen oder um eine laufende Kundenbeziehung weiter zu betreuen, indem z. B.
ein Kontoführungsvertrag erfüllt wird.
5.4.11 Umgang mit Bewerbungsdaten
Immer wieder erreichen das ULD Eingaben zum Thema „Aufbewahrung von eingeschickten oder ausgedruckten Bewerbungsdaten“. Im Bereich der Beschäftigtendaten hat der Bundesgesetzgeber mit § 26 Abs. 1 BDSG-neu eine dem § 32 Abs. 1 BDSG-alt vergleichbaren Erlaubnistatbestand geschaffen. Insoweit kann bei der Beurteilung der Fälle für die Entscheidung der Begründung von Beschäftigungsverhältnissen auf die vertrauten Anwendungsfälle zurückgegriffen werden. Die Bewerbung fällt daher als Teil der Begründung eines Beschäftigungsverhältnisses in den Anwendungsbereich der oben genannten Normen.
Beschäftigtendatenschutz für Bewerbende
Für Bewerberinnen und Bewerber
gelten die datenschutzrechtlichen Bestimmungen des Beschäftigtendatenschutzes. Arbeitgeber sind gehalten, die
Zulässigkeit der Aufbewahrung von Bewerbungsunterlagen zu prüfen.
Bewerbungsunterlagen, wie z. B. Bewerbungsmappen, enthalten die personenbezogenen Daten der sich bewerbenden Person. Bewerber für ein Beschäftigungsverhältnis gelten nach den gesetzlichen Vorgaben als Beschäftigte. Bei Bewerberdaten handelt es sich um personenbezogene Daten von Beschäftigten, die nur für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Für die Aufbewahrung der Unterlagen gelten die allgemeinen Anforderungen der Sicherheit der Verarbeitung gemäß Artikel 32 DSGVO. Der Arbeitgeber oder die Vermittlungsagentur hat daher angemessene technische und organisatorische Maßnahmen zu treffen, die die Bewerbungsunterlagen angemessen schützen. In einem Büro offen herumliegende Unterlagen sind dann nicht hinreichend geschützt, wenn nicht nur das zugriffsberechtigte Personal, sondern auch andere Beschäftigte oder gar Dritte darauf Zugriff nehmen können.
Generell darf der potenzielle Arbeitgeber die Unterlagen eines abgelehnten Bewerbers fünf Monate lang aufbewahren (§ 61 Abs. 1 Arbeitsgerichtsgesetz in Verbindung mit § 21 Abs. 4 Allgemeines Gleichbehandlungsgesetz). Die Erforderlichkeit der Speicherung nach Abschluss eines Bewerbungsverfahrens endet daher in der Regel spätestens nach fünf Monaten. Bewerber können die Rückgabe ihrer Unterlagen und Löschung elektronischer Daten gemäß Art. 17 Abs. 1 DSGVO verlangen, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Nach Beendigung der Bewerbung wird dies in der Regel der Fall sein.
Bewerber haben aber unabhängig davon die Möglichkeit, dem potenziellen Arbeitgeber eine Einwilligung zur weiteren Aufbewahrung der Bewerbungsunterlagen zu erteilen, indem etwa eine Berücksichtigung der Bewerbung für ein zukünftiges Bewerbungsverfahren gewünscht wird. Soweit Bewerber dem Unternehmen eine Einwilligung zur Verarbeitung gemäß Art. 6 Abs. 1 Buchst. a DSGVO erteilt haben, können sie diese gemäß Art. 17 Abs. 1 Buchst. a DSGVO auch widerrufen oder, soweit das Unternehmen ein berechtigtes Interesse (Art. 6 Abs. 1 Buchst. f DSGVO) an der Speicherung geltend macht, dem widersprechen.
5.4.12 Erhebung von Lichtbildern im Rahmen der Zeiterfassung
Im Rahmen der umfassenden Digitalisierung der Arbeitswelt stellt sich vermehrt die Frage, ob die vom Arbeitgeber immer zahlreicheren Datenerhebungen tatsächlich für die Zwecke des Beschäftigungsverhältnisses erforderlich sind.
Ende 2017 ging beim ULD eine Beschwerde ein, in der von einer Arbeitnehmerin beklagt wurde, dass ihr Arbeitgeber im Rahmen der Zeiterfassung zu Beginn und am Ende des Arbeitstages jeweils ein Lichtbild seiner Beschäftigten erhebt und diese weder über den Zweck der Verarbeitung noch über die Speicherdauer und die Nutzung der Lichtbilder informiert habe.
Arbeitgeber dürfen lediglich die für die betrieblichen Zwecke erforderlichen Daten über ihre Beschäftigten verarbeiten. Da die geleistete Arbeitszeit Grundlage für die Bemessung des Entgeltanspruches ist, haben Arbeitgeber grundsätzlich die Befugnis, die Arbeitszeit der Arbeitnehmer zu erfassen. Dies erfolgt in der Regel mit Stech- oder Magnetkarten.
Im Rahmen der Abwägung einer Erforderlichkeit einer weiter gehenden Erhebung eines Lichtbildes im Rahmen der Zeiterfassung sind das Recht auf informationelle Selbstbestimmung des Beschäftigten und der Grundsatz der Datenminimierung zu beachten.
Grundsatz der
Datenminimierung
Der Umfang der erhobenen personenbezogenen
Daten muss dem Zweck angemessen sowie auf das für den Zweck der Verarbeitung
notwendige Maß beschränkt sein.
Das Unternehmen teilte im Rahmen der Anhörung mit, dass das Verfahren zur generellen Vermeidung von Missbräuchen an der Zeiterfassung eingeführt wurde. Einer solchen Begründung kann aber lediglich in Einzelfällen für befristete Zeiträume gefolgt werden, wenn es bereits einen Missbrauch gegeben hat oder es zumindest konkrete Verdachtsfälle für einen Missbrauch gibt und alle gegebenenfalls bestehenden milderen Mittel bereits ausgeschöpft wurden.
Der Arbeitgeber hat bei der Verarbeitung von personenbezogenen Daten seine Informations- und Transparenzpflichten auch gegenüber seinen Beschäftigten zu beachten und diese insbesondere über den jeweiligen Zweck, die Speicherdauer und die bestehenden Rechte betroffener Personen zu informieren.
Das betroffene Unternehmen hat in dem vorliegenden Fall die Erhebung der Lichtbilder im Rahmen der Zeiterfassung bereits im Anhörungsverfahren umgehend abgeschaltet und mitgeteilt, auch zukünftig von einer Erhebung von Lichtbildern abzusehen.
Was ist zu tun?
Der Arbeitgeber
hat zu prüfen, ob die Verarbeitung der entsprechenden Daten für die Begründung,
Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.
Die bestehenden Informations- und Transparenzpflichten sind gegenüber den
betroffenen Beschäftigten einzuhalten. Auch der Abschluss von Kollektivvereinbarungen
kann ein adäquates Mittel zur Schaffung einer Grundlage für eine rechtmäßige
Verarbeitung darstellen.
5.4.13 GPS-Überwachung von Außendienstmitarbeitern
Ein weiterer Fall, der sich im Rahmen der Digitalisierung der Arbeitswelt und der Auswirkung auf die Beschäftigten ereignete, bezog sich auf den Einsatz von GPS-Ortungssystemen in Montagefahrzeugen.
Ein Beschwerdeführer beklagte, dass das eingesetzte System neben den Standortübertragungen u. a. auch zahlreiche weitere Fahrzeugdaten, wie beispielsweise den Stand der Zündung, an den Arbeitgeber übermittelte und eine Vielzahl von Kollegen auf diese Daten zugreifen konnten.
Auch beim Betrieb von GPS-Ortungssystemen ist wiederum der Grundsatz der Datensparsamkeit zu beachten. Es dürfen auch hier lediglich die für die betrieblichen Zwecke erforderlichen Daten erhoben werden. Eine Erhebung von überflüssigen Daten, die beispielsweise bei einer erlaubten Privatnutzung von Fahrzeugen anfallen können, ist unzulässig.
Der Arbeitgeber teilte im Anhörungsverfahren mit, dass er die Daten für die Disposition und zur Erstellung von Serviceberichten für seine Kunden benötigen würde, konnte in diesem Zusammenhang aber nicht erläutern, warum hierfür eine permanente GPS-Ortung, die genaue Route und die Erhebung der Fahrgeschwindigkeit sowie des Zündungsstandes erforderlich sei. In den erwähnten Serviceberichten wurden lediglich die Fahr-, Arbeits- und Pausenzeiten sowie eine Gesamtkilometerangabe aufgeführt, die von den betroffenen Mitarbeitern auch problemlos ohne ein GPS-Ortungssystem erhoben werden können.
Achtung: Datenschutz-Folgenabschätzung
Für eine rechtmäßige
Fahrzeugdatenverarbeitung und Geolokalisierung von Beschäftigten kann eine
Datenschutz-Folgenabschätzung erforderlich sein.
Beim Einsatz entsprechender Systeme ist darauf zu achten, dass Beschäftigte keinem permanenten Kontrolldruck ausgesetzt sein dürfen und daher GPS-Ortungssysteme, mit denen das Arbeitsverhalten von Beschäftigten permanent kontrolliert wird, datenschutzrechtlich unzulässig sind. Ein entsprechender Einsatz eines solchen Systems kann auch nicht auf eine Einwilligungserklärung des Beschäftigten gestützt werden, da nicht von der für eine wirksame Einwilligung erforderlichen Freiwilligkeit ausgegangen werden kann.
Im Rahmen der bestehenden Informations- und Transparenzpflichten hat der Arbeitgeber im Falle des Einsatzes eines entsprechenden Systems seine Beschäftigten u. a. über den Erhebungszweck und -umfang sowie über die bestehenden Betroffenenrechte und die Speicherdauer in transparenter Weise zu informieren und in diesem Zusammenhang auch mitzuteilen, aufgrund welcher Anlässe durch wen ein Zugriff auf die erhobenen Daten erfolgt. Auch der Abschluss einer Betriebsvereinbarung kann in diesem Zusammenhang hilfreich und geboten sein.
Nachdem um Vorlage des entsprechenden Verarbeitungsverzeichnisses und um Mitteilung gebeten wurde, inwieweit der betriebliche Datenschutzbeauftragte überhaupt an der Einführung des Verfahrens beteiligt wurde, stellte das Unternehmen den Betrieb des GPS-Ortungssystems ein und kündigte an, nunmehr eine datenschutzkonforme Lösung erarbeiten zu wollen.
5.4.14 Versendung von Gehaltsnachweise n per E-Mail
Immer wieder wenden sich betroffene Personen an das ULD und fragen nach der Rechtmäßigkeit der Versendung von Gehaltsnachweisen per E-Mail durch die Arbeitgeber.
Bei Gehaltsnachweisen handelt es sich um personenbezogene Daten von Beschäftigten, deren Verarbeitung für den Nachweis der Gehaltsberechnung und Auszahlung dienen und damit zur Durchführung des Beschäftigungsverhältnisses erforderlich sind. Zunehmend werden solche Gehaltsnachweise nicht mehr analog oder per Brief an die Beschäftigten verteilt oder versendet, sondern elektronisch zugestellt. Erfolgt die Versendung im firmeneigenen Netz und haben nur die Berechtigten, z. B. über persönliche dienstliche E-Mail-Adressen, darauf Zugriff, bestehen in der Regel gegen die elektronische Versendung keine datenschutzrechtlichen Bedenken. Erfolgt die Versendung wie in den vorgelegten Fällen jedoch an die privaten E-Mail-Accounts bei Fremdprovidern außerhalb des Verantwortungsbereichs des Arbeitgebers, sind besondere Schutzmaßnahmen zu treffen.
Der für die Verarbeitung verantwortliche Arbeitgeber hat gemäß § 32 DSGVO sicherzustellen, dass die Sicherheit der Verarbeitung und insbesondere die Vertraulichkeit der Informationen gewährleistet sind. Als Maßnahme kommt dafür eine hinreichende Verschlüsselung bei der Versendung in Betracht. Keinesfalls kann aber der Arbeitgeber von dem Beschäftigten die Zurverfügungstellung einer E-Mail-Adresse zu Zwecken der Zusendung einer Gehaltsabrechnung verlangen.
Die Zusendung an einen privaten E-Mail-Account ist nicht erforderlich, da regelmäßig eine analoge Zustellung möglich ist. Wünscht der Arbeitgeber eine elektronische Zustellung, obliegt es ihm, eine hinreichend sichere Zustellmöglichkeit zu schaffen.
5.4.15 Führung einer Negativliste über „vereinsschädigende Personen“
Das ULD erreichte eine Beschwerde über eine von einem Verein geführte „Negativliste“. In dieser Liste führte der Verein Personen auf, die sich in der Vergangenheit vereinsschädigend verhalten hätten, um zu erreichen, dass diese Personen auch zukünftig nicht wieder im Verein aktiv werden können. Das Führen einer solchen Liste wurde in der dortigen Mitgliederversammlung beschlossen.
Im eingeleiteten Verfahren konnte der Verein keine Angaben darüber machen, auf welche Rechtsgrundlage das Verfahren gestützt werde und welche konkreten Sachverhalte dazu führen, dass eine Person als vereinsschädigend eingestuft und in die Liste aufgenommen wird, oder ob es auch Möglichkeiten gäbe, aus dieser Liste wieder entfernt zu werden.
Personenbezogene Daten dürfen auch von Vereinen nur verarbeitet werden, wenn es hierfür eine Rechtsgrundlage gibt. Vereinsbeschlüsse oder -satzungen dürfen dabei nicht im Widerspruch zu geltenden datenschutzrechtlichen Vorschriften stehen.
Im Falle einer entsprechenden Verarbeitung hat der Verein auch zu dokumentieren, welchen konkreten Zweck eine solche Liste hat, welche Daten wofür erforderlich sind, in welchen konkreten Fällen Personen in die Liste aufgenommen werden, wie lange diese Daten dort gespeichert und wann diese gelöscht werden. Darüber hinaus sind betroffene Personen u. a. auch über die Gründe für eine solche Speicherung und ihre bestehenden Datenschutzrechte transparent zu informieren.
Im Rahmen der Praxis-Reihe
„Datenschutzbestimmungen praktisch umsetzen“ ist u. a. auch eine
Broschüre zum Datenschutz im Verein erschienen:
https://uldsh.de/vereine
Für die vorgenannten Erfordernisse ist es dabei unerheblich, ob die verantwortliche Stelle im Vereinsregister eingetragen ist oder ob es sich um einen nicht rechtsfähigen Verein handelt.
Nachdem während des laufenden Verfahrens der Verein einen neuen Vorstand gewählt hat, teilte dieser anschließend umgehend mit, dass sich für den neuen Vorstand keine Grundlage zum Führen einer solchen Liste ergäbe, die „Negativliste“ gelöscht wurde und auch zukünftig vom Führen einer „Negativliste“ abgesehen werde.
Was ist zu tun?
Personenbezogene Daten dürfen auch
von Vereinen nur verarbeitet werden, wenn es hierfür eine Rechtsgrundlage gibt.
Vereinssatzungen dürfen dabei nicht im Widerspruch zu geltenden datenschutzrechtlichen
Vorschriften stehen. Die bestehenden Informations- und Transparenzpflichten
sind gegenüber den Mitgliedern und gegebenenfalls anderen betroffenen Personen
zu beachten.
5.4.16 Veröffentlichung von Schriftverkehr im Vereinsschaukasten
Zahlreiche Bürgerinnen und Bürger engagieren sich in unterschiedlichen Formen ehrenamtlich in Vereinen. Da kann es auch immer mal wieder zum Streit kommen. So erhielt das ULD im vergangenen Jahr eine Beschwerde darüber, dass ein Vereinsvorsitzender ein Schreiben eines Vereinsmitgliedes an die anwaltliche Vertretung des Vereinsvorstandes in öffentlich zugänglichen Schaukästen ausgehängt habe. In dem betreffenden Schreiben waren u. a. auch verschiedene personenbezogene Daten des Vereinsmitgliedes enthalten.
Auch eine solche Offenlegung von personenbezogenen Daten stellt eine Verarbeitung dar und bedarf daher wiederum einer Rechtsgrundlage.
Sollte in diesem Zusammenhang angeführt werden, dass die Verarbeitung zur Wahrung der berechtigten Interessen des Vereins erforderlich war, ist zunächst diese „Erforderlichkeit“ zu begründen. Sollten tatsächlich gewichtige Gründe angeführt werden können, ist zu prüfen, ob es anstelle der Veröffentlichung alternative Maßnahmen gibt, die nicht oder weniger tief in das Recht der betroffenen Person eingreifen und es dem Verein dennoch erlauben, seine Interessen wirksam durchzusetzen.
In dem vorliegenden Fall kann eine unter Umständen erforderliche Information von weiteren Vorstandsmitgliedern beispielsweise auch postalisch erfolgen, sodass zumindest eine Kenntnisnahme von Nichtvereinsmitgliedern ausgeschlossen werden kann.
Für einen Aushang des Schriftverkehrs inklusive der in dem Schreiben enthaltenen personenbezogenen Daten in einem öffentlich zugänglichen Schaukasten bestand vor diesem Hintergrund keine Erforderlichkeit, sodass dies unzulässig war.
Sollte im Rahmen der Prüfung des berechtigten Interesses festgestellt werden, dass der verfolgte Zweck einzig mit dem Mittel einer Veröffentlichung wirksam erreicht werden kann, wäre darüber hinaus als letzter Schritt abzuwägen, ob schutzwürdige Interessen der betroffenen Personen die berechtigten Interessen des Verantwortlichen überwiegen oder nicht.
Da nach einem erfolgten Hinweis auf den Verstoß der Vereinsvorsitzende das Schreiben aus dem Schaukasten entfernt hat, konnte von der Einleitung eines formellen Verfahrens gegen den Verein abgesehen werden.
Was ist zu tun?
Eine Veröffentlichung von
personenbezogenen Daten ist regelmäßig nur nach vorheriger Einwilligung der
betroffenen Person zulässig. Dabei ist zu beachten, dass diese in informierter
Weise und freiwillig zu erfolgen hat. Das bedeutet u. a. auch, dass eine
Vereinsmitgliedschaft nicht von der Abgabe einer Einwilligung abhängig gemacht
werden darf.
5.4.17 Branchenprüfung von Sportverbänden zum Umgang mit Sportlerdaten
In der Vergangenheit erhielt das ULD wiederholt Eingaben zum Umgang mit Sportlerdaten in Sportvereine n und -verbänden. Dies wurde nunmehr als Anlass genommen, bei zehn sehr unterschiedlichen Sportverbänden eine Branchenprüfung durchzuführen.
Um eine Vergleichbarkeit der verschiedenen Sportverbände zu ermöglichen, wurden diese trotz der sehr unterschiedlichen Strukturen zunächst mit zwölf identischen Fragen konfrontiert. Hierbei wurden insbesondere nach den Datenkategorien, den jeweiligen Zwecken und deren Speicherdauer sowie eventueller Übermittlungen an Dritte wie beispielsweise Bundesverbänden gefragt. Darüber hinaus wurden Satzungsbestandteile und Einwilligungserklärungen auf deren Rechtmäßigkeit geprüft und um Erläuterung der technischen Infrastruktur inklusive Berechtigungs- und Löschkonzept sowie um Übersendung etwaiger Auftragsdatenverarbeitungsverträge gebeten. Abschließend war darzustellen, wie die Sportverbände die Wahrung der Rechte betroffener Personen sicherstellen und ob gegebenenfalls eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter benannt wurde.
Insgesamt wurden die Fragen sehr kooperativ beantwortet und Hinweise meist zügig umgesetzt. In einem Einzelfall konnte eine Beantwortung der vorgenannten Fragestellungen jedoch leider erst unter Androhung eines Zwangsgeldes durchgesetzt werden.
Während der laufenden Prüfungsverfahren benannten zahlreiche Sportverbände erstmalig Datenschutzbeauftragte, die anschließend an der Erstellung von Verfahrensverzeichnissen, Satzungsänderungen, der Anpassung von Datenverarbeitungsverträgen, Formularen und den jeweiligen Webauftritten mitwirkten.
Bei zwei Sportverbänden mussten jedoch bereits diese Benennungen nachgebessert werden: Beispielsweise lag in einem Fall ein Interessenkonflikt vor, da der Verbandsvorsitzende selbst als Datenschutzbeauftragter benannt wurde.
Ein Schwerpunkt der Prüfungen bestand insbesondere im Umgang mit Sportlerfotos und deren Veröffentlichungen. In diesem Zusammenhang mussten zahlreiche Fotos insbesondere von den Webauftritten und zum Teil auch ganze Bilddatenbanken gelöscht werden, da die Betroffenen weder entsprechende Einwilligungen erteilt hatten noch über die Erhebung des jeweiligen Fotos und deren Verwendungszwecke informiert wurden.
Da zahlreiche Landesverbände Turnierplaner, Punktspielergebnisdienste oder auch Spielerpassverwaltungen von Drittanbietern nutzen, sind in diesen Fällen entsprechende Auftragsdatenverarbeitungsverträge erforderlich. In einem Fall wurde ein solcher Vertrag leider erst auf mehrfache Nachfragen hin abgeschlossen und nachgereicht.
Da im Bereich der Spielerpässe neben den Landesverbänden häufig auch die Bundesverbände und die Sportvereine vor Ort beteiligt sind, stellten sich in diesem Zusammenhang zahlreiche Fragen zur Abgrenzung der Verantwortlichkeiten sowie zur rechtmäßigen Übermittlung der Daten und den Informationspflichten zur Sicherstellung einer für die betroffenen Personen transparenten Verfahrensweise.
In einzelnen Fällen ergaben sich datenschutzrechtlich bedenkliche Verfahrensweisen aus den Satzungen der übergeordneten Verbände. Auf Initiative eines Landesverbandes wurde eine Bundesspielordnung angepasst, in zwei anderen Fällen bemühten sich die Landesverbände auf Bundesebene leider vergeblich um eine Begrenzung der bisher dort enthaltenen dauerhaften Speicherung der Sportlerdaten, sodass die für die Bundesverbände zuständigen Aufsichtsbehörden entsprechend vom ULD unterrichtet wurden.
Die jeweiligen Landesverbände verhielten sich diesbezüglich
deutlich kooperativer und passten ihre Satzungen nach entsprechenden Hinweisen
an. So enthielten einzelne Satzungen bisher zum Teil zu weitreichende
Grundlagen zu Datenhebungen zum Erhalt von Spielberechtigungen oder auch
Passagen, dass mit Teilnahme am Spielbetrieb der Nutzung der Sportlerdaten
für kommerzielle und für Werbezwecke automatisch zugestimmt wurde.
5.5 Videoüberwachung
Das Thema Videoüberwachung bleibt vielfältig und facettenreich. Sowohl die Anzahl an Beschwerden als auch die Anzahl von Beratungsanfragen, die das ULD erreichen, steigt stetig. Unternehmen und Privatpersonen entscheiden sich meist aus Sicherheitsgründen für eine Videoüberwachung. Dass diese Entscheidung weitreichende Konsequenzen nach sich zieht, ist vielen dabei oftmals nicht bewusst. Durch die Datenschutz-Grundverordnung, die seit dem 25. Mai 2018 verbindlich gilt, wird auch im Zusammenhang mit Videoüberwachung das Thema Datenschutz verstärkt in der Öffentlichkeit wahrgenommen und hinterfragt. Neben der klassischen Videoüberwachung gewinnen u. a. mit Kameras bestückte Drohnen und sogenannte Dashcams an Beliebtheit. Bei solchen mobilen Geräten bedeutet es in der Regel für die Betreiber einen noch größeren Aufwand, die Vorgaben aus der Datenschutz-Grundverordnung zu erfüllen.
5.5.1 Videoüberwachung nach der DSGVO
Besonders spürbar ist die Datenschutz-Grundverordnung für die Betreiber von Videoüberwachungsanlagen durch die gestiegenen Anforderungen hinsichtlich der Informations- und Transparenzpflichten. Während nach dem alten Bundesdatenschutzgesetz der „Umstand der Beobachtung und die verantwortliche Stelle […] durch geeignete Maßnahmen erkennbar zu machen“ waren, schreibt die Datenschutz-Grundverordnung in mehreren Artikeln konkret vor, wie und worüber die betroffenen Personen informiert werden müssen. Auch bei einer Videoüberwachungsanlage handelt es sich um Datenverarbeitung, die für die betroffenen Personen nachvollziehbar sein muss. Daher müssen sie zum Zeitpunkt der Datenerhebung u. a. über den Umstand der Beobachtung, die Identität der verantwortlichen Stelle, die Kontaktdaten des Datenschutzbeauftragten, die Zwecke und die Rechtsgrundlage der Verarbeitung sowie die Speicherdauer informiert werden (keine abschließende Aufzählung). Häufig erhält das ULD Hinweise von Bürgerinnen und Bürgern, dass jemand eine Videoüberwachungsanlage betreibt, ohne auf diese hinzuweisen.
Die Aufsichtsbehörden des Bundes und der Länder sind sich darüber einig, dass aufgrund der Menge an Informationen ein abgestuftes Verfahren der Informationserteilung sinnvoll ist. Daher wurde speziell für Videoüberwachung ein Muster für eine Hinweisbeschilderung erarbeitet, die nach Auffassung der deutschen Datenschutzaufsichtsbehörden die Vorgaben der Datenschutz-Grundverordnung erfüllt. Das Muster ist in der Broschüre zum Thema Videoüberwachung enthalten, die unter folgendem Link abrufbar ist:
https://www.datenschutzzentrum.de/uploads/praxisreihe/Praxisreihe-5-Videoueberwachung.pdf
Dabei handelt es sich zwar nicht um ein verbindlich vorgeschriebenes oder genormtes Muster. Wenn jemand von der vorgeschlagenen Gliederung oder Gestaltung abweicht, beispielsweise weil andere Farben oder erweiternde Symbole genutzt werden oder derjenige z. B. die Betroffenenrechte stärker hervorheben möchte, kann das auch zulässig sein. Allerdings müssen die verpflichtenden Angaben zwingend enthalten sein, weshalb es durchaus empfehlenswert ist, das vorgeschlagene Muster zu nutzen oder als Orientierung heranzuziehen. Angaben wegzulassen oder pauschale allgemeine Aussagen zu treffen, entspricht nicht der Zielsetzung der Datenschutz-Grundverordnung, nämlich die Datenverarbeitung für betroffene Personen verständlicher zu gestalten und ihre Rechte zu stärken.
Auch auf EU-Ebene wird eine mehrstufige Informationserteilung befürwortet. Die Einzelheiten dazu, welche Informationen zu welchem Zeitpunkt bzw. in welcher Abstufung zu erteilen sind, befinden sich zurzeit noch in der Abstimmung zwischen den Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten. Die deutschen Vertreter in den europäischen Gremien setzen sich in diesem Prozess aktiv für einheitliche Standards nach deutschem Vorbild ein. Verantwortliche in Deutschland sind auf der sicheren Seite, wenn die von den Aufsichtsbehörden vorgeschlagenen Hinweisschilder genutzt werden. Da sich die rechtliche Anwendung der Datenschutz-Grundverordnung noch in einem frühen Stadium befindet, stehen die gegenwärtigen Interpretationen und Handlungsvorschläge aber immer unter dem Vorbehalt eines möglicherweise notwendigen Anpassungsbedarfs. Es lohnt sich daher, die aktuellen Entwicklungen in diesem Bereich im Blick zu behalten.
Hinweisbeschilderung
Eine korrekte Hinweisbeschilderung
führt nicht allein dazu, dass der Betrieb der Videoüberwachung rechtmäßig ist.
Die Zulässigkeit der Videoüberwachung ist vielmehr, wie auch nach dem alten
Recht, anhand der Datenschutz-Grundverordnung sowie des Bundes- oder
Landesdatenschutzgesetzes zu prüfen. Wenn der Verantwortliche aufgrund dieser
Prüfung zu dem Ergebnis kommt, dass eine Videoüberwachung betrieben werden
darf, sind die Transparenzpflichten der Datenschutz-Grundverordnung durch eine entsprechende
Hinweisbeschilderung zu erfüllen.
Um zu bewerten, ob eine Videoüberwachung rechtmäßig betrieben wird, kommt es immer auf den Einzelfall an. Für die Überwachung müssen gute Gründe vorliegen. Nach der alten Rechtslage durften Betreiber von Videoüberwachungsanlagen lediglich ihre eigenen Interessen mit dieser Maßnahme verfolgen. Neu ist, dass nunmehr auch Interessen Dritter als Gründe für die Installation einer Videoüberwachung angeführt werden können und von der Aufsichtsbehörde bei einer Prüfung zu berücksichtigen sind. Dabei muss es sich aber um einen näher bestimmten Kreis Dritter handeln, die spezifische Interessen an der Videoüberwachung vorbringen können. Unzulässig wäre es, beispielsweise neben dem eigenen Grundstück auch einen großen Teil der Nachbarschaft mit der Begründung zu überwachen, dass die Videoüberwachung so auch die Nachbarn vor Einbrüchen schützen könnte und damit auch in deren Interesse betrieben werde.
Nach wie vor muss vor der Installation einer Videoüberwachungsanlage eine Interessenabwägung durchgeführt werden. Hierbei gelten nicht mehr – wie zuvor – ausschließlich streng objektive Maßstäbe. Es müssen nun auch die sogenannten „vernünftigen Erwartungen“ der betroffenen Personen berücksichtigt werden. In Schalterhallen einer Bank ist beispielsweise eher mit einer Videoüberwachung zu rechnen als in öffentlichen Parks, im Treppenhaus von Mehrfamilienhäusern oder gar in sanitären Einrichtungen.
Was ist zu tun?
Besonders die Informations- und
Transparenzpflichten sind deutlich umfangreicher geworden. Die Betreiber von
Videoüberwachungsanlagen müssen daher ihre bisherigen Informationskonzepte
kontrollieren und, sofern noch nicht geschehen, an die DSGVO anpassen. Das ist
wichtig, damit betroffene Personen ihre Rechte gegenüber den Verantwortlichen
auch wirksam wahrnehmen können. Besonders in Bezug auf die Hinweisbeschilderung
für Videoüberwachungsanlagen sollten die Betreiber genau prüfen, an welcher
Stelle sinnvollerweise welche Angaben gemacht werden können.
5.5.2 Fotos nach der DSGVO
Seit Mai des Jahres 2018 erreicht das ULD eine Vielzahl von mehr oder weniger umfangreichen Beratungsanfragen von Berufs- und Hobbyfotografen. Diese Personengruppe wird durch die Datenschutz-Grundverordnung im Hinblick auf deren Auswirkung auf das tägliche Geschäft der Fotografie stark verunsichert. Insbesondere befürchten viele Fotografen, dass sie entweder für das Erstellen und Veröffentlichen eines jeden Fotos eine separate Einwilligung der abgebildeten Personen benötigen oder zumindest jede abgebildete Person umfassend über die Ausgestaltung der Datenverarbeitung informieren müssen, selbst wenn diese nur zufällig und am Rande auf der Aufnahme erscheint. Für Beunruhigung sorgt auch die Vielzahl der Rechtsgebiete, die beim Thema Fotografie nebeneinander betrachtet werden müssen: Die Datenschutz-Grundverordnung, das Kunsturhebergesetz, zivilrechtliche Vorschriften und auch strafrechtliche Vorschriften spielen eine Rolle. Je nachdem wer die Bildaufnahme für welchen Verwendungszweck erstellt, gelten unterschiedliche Vorschriften. So ist für einen Teil der fotografierenden Personen die Datenschutz-Grundverordnung nicht anwendbar; andere, scheinbar vergleichbare Personengruppen müssen sich – aus ihnen oftmals nicht nachvollziehbaren Gründen – an die Vorschriften der Datenschutz-Grundverordnung halten.
Die Haushaltsausnahme
Das Anfertigen und Speichern von Fotos durch natürliche Personen unterliegt – jedenfalls soweit die Fotos im persönlichen Bereich verbleiben – von vornherein nicht den Beschränkungen der Datenschutz-Grundverordnung, da es sich hierbei um eine sogenannte persönliche oder familiäre Tätigkeit handelt. Das führt aber nicht dazu, dass der private Bereich zu einem rechtsfreien Raum wird. Vielmehr können in diesem Bereich die allgemeinen zivil- und strafrechtlichen Vorschriften einschlägig sein. Erstellt also ein Elternteil auf dem Kindergeburtstag seines Sohnes Aufnahmen von ihm und den Gästen, würden die Vorschriften der Datenschutz-Grundverordnung zwar nicht anwendbar sein. Die Landesbeauftragte für Datenschutz hätte in diesem Fall keine Untersuchungs- und Abhilfebefugnisse. Die Eltern der anderen anwesenden Kinder könnten sich jedoch notfalls auf dem Zivilrechtsweg gegen das Erstellen der Aufnahmen wehren.
Datenschutz-Grundverordnung oder Kunsturhebergesetz ?
Wenn aber der private Bereich verlassen wird, etwa weil die Fotos im Internet einem unbeschränkten Personenkreis zugänglich gemacht werden, müssen auch natürliche Personen für „private“ Fotos die Datenschutz-Grundverordnung von Beginn an beachten. Das hat zur Folge, dass bereits das Erstellen eines Fotos auf eine gesetzliche Grundlage gestützt werden können muss.
Der Anwendungsbereich der Datenschutz-Grundverordnung ist außerdem grundsätzlich immer eröffnet, wenn Fotos für berufliche, gewerbliche, oder sonstige nicht ausschließlich persönliche Zwecke erstellt und verarbeitet werden. Wenn das der Fall ist, muss bereits das Erstellen eines Fotos anhand der Datenschutz-Grundverordnung beurteilt werden, da das Kunsturhebergesetz nur die Veröffentlichung von Bildnissen regelt. Das bedeutet, dass sich in diesem Fall die Beurteilung der Rechtmäßigkeit des Anfertigens von Aufnahmen nach Art. 6 Abs. 1 DSGVO richtet.
Art. 6 Abs. 1
Buchst. f DSGVO
Die Verarbeitung ist nur rechtmäßig,
wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
[…]
f) die Verarbeitung ist zur Wahrung
der berechtigten Interessen des Verantwortlichen oder eines Dritten
erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten
der betroffenen Person, die den Schutz personenbezogener Daten erfordern,
überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein
Kind handelt.
Bei einer Veröffentlichung stellt sich zudem die Frage, ob das Kunsturhebergesetz anwendbar ist oder ob die Rechtmäßigkeit einer Veröffentlichung nach den Vorschriften der Datenschutz-Grundverordnung zu bewerten ist.
Besonderheit Presse
Im journalistischen Bereich ergibt sich eine Besonderheit durch das sogenannte Medienprivileg. In Artikel 85 DSGVO ist verankert, dass Mitgliedstaaten Abweichungen von der Datenschutz-Grundverordnung für die Verarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken erlassen können.
Hiervon hat Schleswig-Holstein Gebrauch gemacht. Nach § 10 Landespressegesetz Schleswig-Holstein gilt die Datenschutz-Grundverordnung für die Verarbeitung von personenbezogenen Daten für journalistische oder literarische Zwecke weitgehend nicht. Daraus ergibt sich, dass für den journalistischen Bereich das Kunsturhebergesetz weiterhin anwendbar ist.
Nicht journalistischer Bereich
Für Fotos, die außerhalb journalistischer oder literarischer Zwecke veröffentlicht werden, gilt die Datenschutz-Grundverordnung uneingeschränkt. Ob daneben für die Veröffentlichung auch das Kunsturhebergesetz anwendbar ist, war im vergangenen Jahr ein großes juristisches Streitthema. Für die Zulässigkeit von Veröffentlichungen bedeutet dies im Ergebnis keinen Unterschied. Nach Art. 6 Abs. 1 Buchst. f DSGVO ist ebenso wie nach § 23 Kunsturhebergesetz eine Abwägung der verschiedenen Interessen vorzunehmen. Die Regelbeispiele des Kunsturhebergesetzes können auch bei der Interessenabwägung nach der Datenschutz-Grundverordnung herangezogen werden.
Mittlerweile gibt es eine erste Gerichtsentscheidung, die ebenfalls die Frage der unmittelbaren Anwendbarkeit des Kunsturhebergesetzes offenlässt, weil die Anwendbarkeit der DSGVO zu keinem anderen Ergebnis führt (Landgericht Frankfurt am Main, Urteil vom 13.09.2018, 2-03 O 283/18).
§ 23
Kunsturhebergesetz
(1) Ohne die nach § 22
erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt werden:
1. Bildnisse aus dem Bereiche der
Zeitgeschichte;
2. Bilder, auf denen die Personen
nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen;
3. Bilder von Versammlungen,
Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben;
4. Bildnisse, die nicht auf
Bestellung angefertigt sind, sofern die Verbreitung oder Schaustellung einem
höheren Interesse der Kunst dient.
(2) Die Befugnis erstreckt sich
jedoch nicht auf eine Verbreitung und Schaustellung, durch die ein berechtigtes
Interesse des Abgebildeten oder, falls dieser verstorben ist, seiner
Angehörigen verletzt wird.
Transparenz pflichten
Die Datenschutz-Grundverordnung enthält neben den Regelungen zur Zulässigkeit der Datenverarbeitung eine ganze Reihe weiterer Vorgaben. Hierzu gehören u. a. die Transparenzpflichten nach Artikel 13 und Artikel 14 DSGVO. Diese Pflichten sind für viele Tätigkeiten von Fotografinnen und Fotografen in der Praxis nicht immer einfach zu erfüllen. Das gilt vor allem wenn Fotografien von größeren Menschenmengen erstellt werden. Hier haben einzelne Fotografinnen und Fotografen häufig keine Möglichkeit, die betroffenen Personen über die Datenverarbeitung zu informieren. In solchen Fällen sind Ausnahmen von den Informationspflichten nach Maßgabe des Art. 14 Abs. 5 DSGVO möglich. Danach gilt die Pflicht zur Information nicht, wenn die Daten ohne Mitwirkung der betroffenen Person erhoben werden und die Erteilung der Information sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. An diese Voraussetzungen sind jedoch aufgrund des Ausnahmecharakters der Vorschrift hohe Anforderungen zu stellen.
Ergebnis und Ausblick
Im Ergebnis ist festzustellen, dass gegenwärtig eine Unsicherheit darüber besteht, welche Vorschriften in welchen Fällen für Fotografinnen und Fotografen und ähnliche Gruppen anzuwenden sind, die nicht unter das Pressegesetz oder den Rundfunkstaatsvertrag fallen. Zu rechtlichen Einschränkungen der Fotografie führt die Gemengelage der Rechtsvorschriften zwar nicht, wohl aber zu einer Belastung der Personen, die sich als Anwender mit den Vorschriften auseinandersetzen müssen.
Der Gesetzgeber hat den Spielraum, den Artikel 85 DSGVO für nationale Regelungen bietet, um die Freiheit der Meinungsäußerung und die Informationsfreiheit zu gewährleisten, noch nicht vollständig ausgeschöpft. Spezifische Regelungen zur Fotografie in diesen Bereichen könnten einen Mehrwert darstellen und die Rechtssicherheit erhöhen, wenn sie den gesamten Lebenszyklus einer Fotografie abbilden würden. Dafür müssten sie auch andere Arten der Datenverarbeitung als die im Kunsturhebergesetz geregelte Veröffentlichung einbeziehen und sich nicht auf die Frage der Zulässigkeit der Datenverarbeitung beschränken. Da das Kunsturhebergesetz lediglich die Verbreitung von Bildnissen regelt, gilt für alle anderen Verarbeitungsschritte derzeit die Datenschutz-Grundverordnung unmittelbar, so wie vor dem 25. Mai 2018 hierfür das Bundes- oder Landesdatenschutzgesetz galt. Ein neues Gesetz könnte durch Einbeziehung aller Phasen der Datenverarbeitung, von der Erstellung über die Veröffentlichung bis hin zur Löschung, eine umfassende Regelung für die Zulässigkeit der Verarbeitung von Personenfotos schaffen. Auch die Frage der Transparenz könnte in einem solchen Gesetz bereichsspezifisch geregelt werden.
Was ist zu tun?
Wünschenswert zur Klarstellung des
Themenkomplexes wäre ein Gesetz, das den gesamten Lebenszyklus eines Fotos
umfassend regelt. Dieses Gesetz sollte Regelungen zum Erheben über das
Aufbewahren bis hin zum Veröffentlichen und schlussendlich Löschen von
Fotografien beinhalten. Da insbesondere der Beruf des Fotografen sich nicht an
Ländergrenzen orientiert, ist es sinnvoll, eine bundesländerübergreifende
Regelung zu schaffen. Hier wäre somit der Bundesgesetzgeber gefragt.
5.5.3 Videoüberwachung im Studentenwohnheim
Das ULD hat sich aufgrund einer Beschwerde mit einer Videoüberwachung in einem Studentenwohnheim beschäftigt. Überwacht wurden die Gemeinschaftsküchen, Flure vor den Privatzimmern der Bewohner sowie das Treppenhaus des Gebäudes. Als Begründung führte der Verantwortliche an, dass die Studierenden die Angewohnheit hätten, zu später Stunde ausschweifende Partys insbesondere in den Gemeinschaftsküchen zu veranstalten. Dabei seien mehrfach u. a. diverse Einrichtungsgegenstände zerstört worden; zudem wurden Fahrstühle beschädigt und Mitbewohner durch verschiedene Handlungen gefährdet und belästigt.
Obwohl die Beschädigungen durch die Studierenden gravierend waren und es nachvollziehbar ist, dass man solchen Ausschweifungen Einhalt gebieten möchte, hält das ULD die Videoüberwachung in den oben genannten Bereichen für höchst bedenklich. Es muss berücksichtigt werden, dass Studierende in einem Wohnheim zumindest für die Zeit eines Semesters tatsächlich leben, Zeit verbringen und Freunde treffen. In diesem sehr privaten Umfeld von dem eigenen Vermieter überwacht zu werden, kann keine Option sein. Die Unverletzlichkeit der Wohnung ist durch das Grundgesetz besonders geschützt. Zwar ist ein Studentenwohnheim eine andere Art von Wohnung, aber es stellt für die Studierenden zumindest für einen gewissen Zeitraum den zentralen Lebensmittelpunkt dar. Die Überwachung in einem solchen Bereich bedeutet einen erheblichen Eingriff in die Grundrechte und Grundfreiheiten der dort lebenden Studierenden sowie deren Besuch. Dieser kann nicht durch die eingangs näher dargestellten Beschädigungen aufgewogen werden. Auch kann die Eingriffsintensität für die betroffenen Personen durch Maßnahmen wie eine zeitliche Einschränkung oder ein strenges Zugriffs- und Berechtigungskonzept nicht so abgemildert werden, dass die Videoüberwachung akzeptiert werden könnte.
Da der Betreiber der Videoüberwachung diese zwischenzeitlich abgeschaltet hat, wurde dieser vor der erneuten Inbetriebnahme gewarnt. Außerdem wird die Einleitung eines Bußgeld-verfahrens geprüft.
5.5.4 Nachbarschaftsüberwachung
Ein Großteil von Beschwerden zum Thema Videoüberwachung erhält das ULD von Personen, die sich von einem ihrer Nachbarn überwacht fühlen. Wenn am eigenen Haus schon einmal ein Einbruch verübt worden ist, ist die Schwelle, sich für eine Videoüberwachung zu entscheiden, meistens niedrig. Zu beobachten ist, dass viele Personen eine Videoüberwachungsanlage installieren, ohne den datenschutzrechtlichen Rahmen zu beachten und ohne ihre Nachbarn zu informieren. Häufig fehlt einzelnen Privatpersonen schlicht das Wissen, was genau bei der Installation einer Videoüberwachungsanlage aus datenschutzrechtlicher Sicht beachtet werden muss. Oftmals wird die Videoüberwachung eines Nachbarn im Rahmen eines ohnehin bereits eskalierenden Nachbarschaftsstreits auch als zusätzliche Belastung wahrgenommen, unabhängig davon, ob die Kameras aus datenschutzrechtlicher Sicht korrekt eingestellt sind. Solche Streitigkeiten, die ihre Wurzeln in ganz anderen Bereichen fernab von datenschutzrechtlichen Themen haben, führen auch häufig dazu, dass eine Seite sich bewusst für die Installation der Videoüberwachungsanlage entscheidet, entweder um das Fehlverhalten der anderen Seite zu dokumentieren oder als Trotzreaktion, da sich die andere Seite „ja auch nicht an Recht und Gesetz hält“.
Haushaltsausnahme
Wird eine Videoüberwachung von einer
natürlichen Person ausschließlich zum Zweck
sogenannter „ausschließlich persönlicher und familiärer Interessen“ betrieben,
ist die Datenschutz-Grundverordnung nicht anwendbar. Das ist regelmäßig dann
der Fall, wenn die Videoüberwachung auf das eigene private Grundstück
beschränkt wird und Nachbargrundstücke sowie öffentliche Verkehrsräume nicht
mit überwacht werden. Wenn jedoch Aufnahmen veröffentlicht werden oder
Angestellte im eigenen Haus oder auf dem eigenen Grundstück beschäftigt werden,
dürfte die Videoüberwachung nicht mehr als ausschließlich persönliche oder
familiäre Tätigkeit angesehen werden können.
Videoüberwachung am eigenen Haus oder auf dem eigenen Grundstück kann durchaus in zulässiger Weise betrieben werden. Sofern mit der Videoüberwachung ausschließlich das eigene Grundstück überwacht wird, das sich erkennbar vom öffentlich zugänglichen Verkehrsraum abhebt, findet die Videoüberwachung im Rahmen der sogenannten Haushaltsausnahme statt.
Das hat zur Folge, dass die Datenschutz-Grundverordnung nicht anwendbar ist. Das wiederum hat zur Folge, dass die Videoüberwachung nicht der Kontrolle durch das ULD unterliegt. Somit hat in diesen Fällen die Landesbeauftragte für Datenschutz keine Befugnisse, beispielsweise Untersagungen auszusprechen oder ein Bußgeld zu verhängen. Wenn befürchtet wird, dass ein Nachbar neben seinem eigenen Grundstück auch umliegende und direkt angrenzende Nachbargrundstücke überwacht, kann man sich hiergegen auf dem Zivilrechtsweg wehren.
Nähere Hinweise hierzu sind unter folgendem Link veröffentlicht:
https://www.datenschutzzentrum.de/artikel/1051-.html
Was ist zu tun?
Die Videoüberwachung des eigenen
Grundstücks darf auch nur dieses erfassen. Öffentliche Bereiche, wie
z. B. Wege und Straßen, oder gemeinschaftlich genutzte Flächen, wie z. B.
Auffahrten oder Treppenhäuser, müssen frei von Überwachungsmaßnahmen bleiben.
Es ist sehr empfehlenswert, die direkten Nachbarn von der Videoüberwachung und
den Gründen, die zu der Installation geführt haben, in Kenntnis zu setzen und
sich offen gegenüber Fragen zu verhalten. Erfahrungsgemäß führt erhöhte
Transparenz zu mehr Akzeptanz. Von einer provokanten Videoüberwachung aus dem
Gefühl heraus, selbst durch Nachbarn ungerecht behandelt zu werden, sollte
abgesehen werden.
5.5.5 Einsatz einer Dashcam
Unter einer Dashcam ist eine Kamera zu verstehen, die in oder an einem Fahrzeug angebracht ist und während der Fahrt das Geschehen aufzeichnet, das sich frontal vor dem Fahrzeug abspielt. Einerseits kann eine Dashcam Verkehrsunfälle dokumentieren und auf diese Weise gegebenenfalls zur Verkehrssicherheit oder zur Aufklärung von Verkehrsunfällen beitragen. Andererseits kann durch Dashcams auch eine Atmosphäre der Überwachung erzeugt werden, insbesondere wenn eine große Anzahl an Fahrzeugen mit einer solchen Kamera ausgestattet ist. Eine solche Überwachung würde ganz überwiegend anlasslos stattfinden, da ein Unfall eher die Ausnahme als die Regel darstellt. Auch kann nicht damit argumentiert werden, dass die Teilnahme am Straßenverkehr prinzipiell gefährlich sei, da dies die Schlussfolgerung zuließe, auch andere Verkehrsteilnehmer wie Fußgänger und Radfahrer könnten oder müssten sich mit Dashcams ausstatten. Dies würde im Ergebnis zu einer nahezu lückenlosen Überwachung des gesamten Verkehrsgeschehens führen. Der einzelne Verkehrsteilnehmer würde sich auf Kosten des allgemeinen Persönlichkeitsrechts anderer vor einem allgemeinen Lebensrisiko und nur möglicherweise eintretenden Schäden schützen wollen.
Die Aufgabe der Datenschutzaufsichtsbehörden besteht nun darin, durch Aufklärung über den datenschutzkonformen Einsatz von Dashcams und Sanktionierung nicht datenschutzkonformer Einsätze die Persönlichkeitsrechte der betroffenen Verkehrsteilnehmer zu schützen. Dabei muss besonders das Urteil des Bundesgerichtshofs (BGH) vom Mai 2018 berücksichtigt werden. Der BGH hält die permanente und anlasslose Aufzeichnung des Verkehrsgeschehens für nicht vereinbar mit den datenschutzrechtlichen Vorschriften. Die Verwertung der Aufnahmen als Beweismittel in einem Unfallhaftpflichtprozess sei dennoch zulässig.
Datenschutzrechtliche Zulässigkeit versus
Beweisverwertung
Nur weil Dashcam-Aufnahmen in einem
Gerichtsverfahren als Beweis zugelassen werden, bedeutet das nicht, dass der
Betrieb dieser Dashcam auch aus datenschutzrechtlicher Sicht zulässig war.
Wenn die Datenschutzaufsichtsbehörden von dem rechtswidrigen Betrieb einer
Dashcam Kenntnis erlangen, können dem Betreiber oder der Betreiberin hohe
Bußgelder oder ein Verbot durch die Aufsichtsbehörde drohen.
BGH, Urteil vom 15. Mai 2018 – VI ZR
233/17
Wenn mit Dashcams das allgemeine Verkehrsgeschehen gefilmt werden soll und der Zweck darin liegt, einen möglichen Unfallhergang zu dokumentieren, ist der Anwendungsbereich der Datenschutz-Grundverordnung eröffnet und die Rechtmäßigkeit einer solchen Kamera nach den darin enthaltenen Vorschriften zu prüfen. Der Einsatz einer Dashcam kann nur zulässig sein, soweit dies zur Wahrung berechtigter Interessen von Verantwortlichen oder Dritten erforderlich ist und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Dashcams, mit denen die gesamte Autofahrt vom Start bis zum Ende gefilmt und gespeichert wird, verarbeiten permanent ohne Anlass personenbezogene Daten. Das heißt, dass eine Vielzahl unbeteiligter Personen aufgezeichnet wird, ohne dass hierfür ein Grund besteht. Auch kann eine Person, die beispielsweise gerade eine Straße kreuzt, nicht oder nur schwierig wahrnehmen, dass ihr Verhalten in diesem Moment gefilmt wird. Die Interessen des Einzelnen, sich grundsätzlich frei und unbeobachtet im öffentlichen Verkehrsraum bewegen zu können, ist schwerer zu gewichten als das Interesse eines Autofahrers daran, einen Unfall aufzuklären, der sich nur möglicherweise ereignen könnte. Für den theoretisch möglichen Fall eines Verkehrsunfalls permanent Aufnahmen anzufertigen, um diese gegebenenfalls als Beweismittel in einem Gerichtsverfahren zu verwenden, kann den erheblichen Eingriff in das Grundrecht der betroffenen Personen auf den Schutz personenbezogener Daten nicht rechtfertigen.
Eine Ausnahme von diesem Ergebnis kann – so auch der Bundesgerichtshof – überhaupt nur in Betracht kommen, wenn eine Kamera bestimmte Datenschutzmechanismen aufweist. Dabei handelt es sich insbesondere um technische Maßnahmen, um den Eingriff in die Grundrechte der betroffenen Personen so gering wie möglich zu halten, wie z. B. die Verwendung einer Kamera, die nur kurzzeitig anlassbezogen aufzeichnet, etwa wenn eine Kollision stattfindet oder der Fahrer stark abbremst oder eine ruckartige Lenkradbewegung durchführt. Ein solcher Mechanismus ist auch eine automatisierte, dem Eingriff des Verwenders entzogene Löschung. Welche Maßnahmen konkret ergriffen werden müssen, hängt vom Einzelfall ab.
Schon jetzt muss das Risiko berücksichtigt werden, dass sich
die Bevölkerung zu einer Gesellschaft weiterentwickelt, in der nicht nur alle
Fahrzeuge mit eingebauten Kameras ausgestattet sind, sondern alle Bundesbürger
mit Kameras ausgestattet herumlaufen, um gegebenenfalls Situationen
aufzunehmen, die eine Straftat aufdecken oder für zivilrechtliche Haftungsfragen
relevant sein könnten. Das Recht unbeteiligter Personen, selbst bestimmen zu
können, wann man sich wo mit wem aufhält, ohne dass unbeteiligte Personen dies
anlasslos dokumentieren, würde durch so eine gesellschaftliche Entwicklung
erheblich beeinträchtigt werden.
Was ist zu tun?
Autofahrer sollten von einem
leichtfertigen Umgang mit dem Betrieb einer Dashcam absehen. Außerdem ist im
Hinblick auf Dashcams vor allem die gesellschaftliche Entwicklung in ihrer
Gesamtheit zu betrachten. Welche Entwicklungen dienen wirklich der Sicherheit,
und welche erhöhen lediglich das Sicherheitsgefühl und sind tatsächlich eher
freiheitsberaubend? Sollte zukünftig jeder mit einer Art Dashcam ausgestattet
sein – würde das dann die Sicherheit erhöhen oder die Freiheit eines
Individuums einschränken? Der Gesetzgeber könnte mit einer klaren gesetzlichen
Regelung entscheiden, ob und in welcher Ausgestaltung der Betrieb von Dashcams
zulässig ist. Dies würde einerseits die
Rechtssicherheit erhöhen und außerdem auf eine einheitliche (Sanktions-)Praxis
der Aufsichtsbehörden hinwirken.
5.5.6 Videoüberwachung im Fitnessstudio
Bereits im letzten Tätigkeitsbericht wurde über den Verfahrensstand bei einer Videoüberwachung in einer Fitnessstudiokette berichtet (36. TB, Tz. 5.6.3). Im Jahr 2017 wurde dem Fitnessstudio der Betrieb der Videoüberwachung untersagt. Neben Trainingsflächen wurden Aufenthaltsbereiche und auch Umkleidebereiche gefilmt. Dies ist eine schwerwiegende Beeinträchtigung der Rechte und Freiheiten derjenigen, die in den betreffenden Studios trainieren und ihre Freizeit verbringen. Besonders die Videoüberwachung der Umkleidebereiche, in denen sich die Kunden des Fitnessstudios leicht oder gar nicht bekleidet aufhalten, greift erheblich in deren Privatsphäre ein. Gegen die Anordnung der Landesbeauftragten für Datenschutz hat der Betreiber zunächst Widerspruch eingelegt und dann, als dem Widerspruch nicht abgeholfen wurde, Klage vor dem Verwaltungsgericht in Schleswig erhoben. Die Entscheidung des Gerichts bleibt abzuwarten.
Nach wie vor erreichen das ULD Beschwerden oder Nachfragen von Mitgliedern der Fitnessstudiokette zu der Videoüberwachung in den Studios. Die Personen berichten, dass sie sich durch die Kameras beim Trainieren unangenehm beobachtet fühlen und nicht wissen, was genau mit den Aufnahmen geschieht.
5.5.7 Videoüberwachung von Beschäftigten
Immer wieder erreichen das ULD Eingaben von Beschäftigten, die von ihrem Arbeitgeber an ihrem Arbeitsplatz mit Kameras gefilmt werden. So wurden diese in Werkstätten, Großraumbüros, im Einzelhandel, Lagerräumen oder sogar in Sozialräumen aufgenommen. Einzelne Mitarbeiterinnen und Mitarbeiter berichteten hierbei von der Nutzung der Kameras für Verhaltens- und Leistungskontrollen durch ihre Vorgesetzten.
Eine solche Videoüberwachung stellt nach Auffassung des Bundesarbeitsgerichtes den denkbar intensivsten Eingriff in das informationelle Selbstbestimmungsrecht eines Beschäftigten dar. Diese kann dem Arbeitgeber ermöglichen, seine Beschäftigten in ihrer ganzen wahrnehmbaren Persönlichkeit zu beobachten (Monitoring) und/oder reproduzierbar festzuhalten (Aufzeichnung). Arbeitgeber dürfen lediglich die für die betrieblichen Zwecke erforderlichen Daten über ihre Beschäftigten erheben. Dabei ist zu berücksichtigen, dass Arbeitnehmer grundsätzlich keinem permanenten Kontrolldruck durch ihren Arbeitgeber ausgesetzt sein dürfen.
Auch wenn verschiedene Unternehmen in den Verfahren für die von ihnen eingesetzte Videoüberwachung Gründe anführen, die vordergründig gar nichts mit den Beschäftigten zu tun haben (beispielsweise Verhinderung von Ladendiebstählen), müssen weiterhin auch die Interessen der Beschäftigten gewahrt bleiben. Im Rahmen der Abwägung der Erforderlichkeit einer solchen Videoüberwachung gegenüber dem Recht auf informationelle Selbstbestimmung des Beschäftigten ist u. a. auch entscheidend, inwieweit dem Beschäftigten noch Rückzugsmöglichkeiten verbleiben.
Verschiedene Arbeitgeber teilten darüber hinaus mit, dass ihre Beschäftigten mit der Videoüberwachung einverstanden seien und sich bei ihrem Vorgesetzten bisher auch noch nicht beschwert hätten, sodass diese auf die Grenzen der Wirksamkeit einer im Rahmen des Beschäftigtenverhältnisses erhobenen Einwilligung hingewiesen werden mussten.
Einwilligung
Im Beschäftigungsverhältnis kommt
eine freiwillige und damit wirksame Einwilligung aufgrund des bestehenden
Über-/Unterordnungsverhältnisses in der Regel nicht in Betracht.
Da sich in zahlreichen Beschwerden insbesondere darüber beklagt wurde, dass die Arbeitgeber lediglich die Kameras installiert hätten und sich ansonsten in Schweigen hüllen, mussten diese auch bei rechtmäßig betriebenen Systemen ihre Verfahren in den Bereichen der gesetzlich vorgeschriebenen Informations-, Transparenz- und Dokumentationspflichten nachbessern.
Hierbei sind die Beschäftigten u. a. über den Erhebungszweck und -umfang, Zugriffsanlässe und -berechtigungen, Protokollierung, Speicherdauer sowie über ihre bestehenden Rechte betroffener Personen zu informieren. Zur Wahrung der Rechte der Beschäftigten und eines transparenten Verfahrens kann auch der Abschluss von Kollektivvereinbarungen oder die Abgabe von Verpflichtungserklärungen der Arbeitgeber hilfreich sein. Diese sollten jedoch immer auch einen Ausschluss der Nutzung der Systeme für Verhaltens- und Leistungskontrollen beinhalten.
Im Rahmen der durchgeführten Verfahren wurden zahlreiche Kameras abgeschaltet, neu ausgerichtet oder Erfassungsbereiche geschwärzt, Dokumentationen und Beschilderungen nachgebessert und die Nutzung der Systeme für Verhaltens- und Leistungskontrollen zum Teil auch durch Aufnahme entsprechender Passagen in die Arbeitsverträge ausgeschlossen.
Abschließend ist darauf hinzuweisen, dass die Entscheidung über die Verwertungsmöglichkeit von Bildmaterial für arbeitsgerichtliche Verfahren den Gerichten obliegt. Diese sind grundsätzlich gehalten, von den Parteien angebotene Beweismittel zu berücksichtigen, sodass nicht jeder Verstoß gegen datenschutzrechtliche Bestimmungen zwangsläufig auch ein Beweisverwertungsverbot zur Folge hat.
5.6 Datenpannen in der Wirtschaft
Mit der Datenschutz-Grundverordnung wurde eine neue Meldepflicht für Datenschutzverletzungen eingeführt.
Eine Verletzung des Schutzes personenbezogener Daten ist in Art. 4 Nr. 12 DSGVO als eine Verletzung der Sicherheit definiert, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenbarung von Daten oder zum unbefugten Zugang zu solchen Daten führt. Anders als nach altem Recht umfasst die Definition alle Arten von personenbezogenen Daten. Solche Verletzungen sind nach Artikel 33 DSGVO der Datenschutzaufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden zu melden. In der Meldung hat der Verantwortliche auch Ausführungen dazu zu machen, welche Maßnahmen zur Behebung der Verletzung und gegebenenfalls zur Abmilderung ihrer Folgen ergriffen wurden. Die Meldepflicht entfällt nur dann, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Formulare für die Meldung an das ULD sind abrufbar unter:
https://www.datenschutzzentrum.de/meldungen/
In gravierenden Fällen reicht die Meldung an die Datenschutzaufsichtsbehörde nicht aus. Es sind dann nach Artikel 34 DSGVO auch die betroffenen Personen zu informieren. Dies ist der Fall, wenn die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.
Durch die Meldepflicht soll frühzeitig Transparenz über eingetretene Datenschutzverletzungen hergestellt werden. Dadurch soll es allen Beteiligten ermöglicht werden, ein größeres Ausmaß des Schadens zu vermeiden, wie etwa einen Identitätsdiebstahl oder -betrug, finanzielle Verluste oder Rufschädigung. Die Datenschutzaufsichtsbehörde kann nach Eingang einer Meldung prüfen, ob sie gegenüber dem Verantwortlichen Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen anordnet. Eine Anordnung unterbleibt vor allem dann, wenn die vom Verantwortlichen ergriffenen Maßnahmen zur Behebung des Schadens als ausreichend anzusehen sind.
Beim ULD sind seit Ende Mai 2018 zahlreiche Meldungen eingegangen. Einige davon werden nachfolgend dargestellt:
- Eine Jugendhilfeeinrichtung verschickt einen unverschlüsselten USB-Stick mit Bildern von Kindern und Jugendlichen an das Jugendamt. Der USB-Stick geht beim Postversand verloren und ist bis heute nicht wieder aufgetaucht. Zukünftig sollen die Daten nur noch verschlüsselt übermittelt werden.
- Mitarbeiter eines Krankenhauses schauen sich die Patientenakte eines Kolle-gen an, obwohl sie nicht an der Behandlung beteiligt sind. Zukünftig sollen ein Berechtigungskonzept, die Protokollierung von lesenden Zugriffen, eine Dienstanweisung und Kontrollen sicherstellen, dass Mitarbeiter nur auf Patientendaten zugreifen, die sie auch etwas angehen.
- Eine Auszubildende in einer Zahnarztpraxis erkennt in einem neuen Patienten einen Bekannten und schickt schnell mal Kopien der Patientendaten an eine gemeinsame Freundin. Der Auszubildenden wurde fristlos gekündigt.
- Eine Hebamme macht Hausbesuche bei den von ihr betreuten Schwangeren. Ihr Auto wird aufgebrochen und der Hebammenkoffer mit den Patientenakten gestohlen. Zukünftig sollen Patientenunterlagen nicht mehr unbeaufsichtigt im Auto liegen gelassen werden.
- In einer Arztpraxis wird eingebrochen. Gestohlen wird u. a. auch die Datensicherung. Gott sei Dank waren die Daten verschlüsselt. Alles richtig gemacht!
- Eine Sozialarbeiterin verliert ihr dienstliches Smartphone mit unverschlüsselten Kontaktdaten, SMS-Nachrichten usw. Zukünftig sollen auch diese Daten durch eine Verschlüsselung gesichert werden.
- Der Klassiker: Arztbriefe, Arztrechnungen usw. werden per Post oder per Fax einem falschen Empfänger übersandt. Häufigste Ursache ist eine Namensverwechslung. Oder es werden zwei Briefe für unterschiedliche Empfänger in einem Brief versandt. Mitarbeiter müssen geschult und sensibilisiert werden.
- Eine Patientin stiehlt in einem Krankenhaus Patientenunterlagen (Entlassungsbriefe), und keiner weiß, wie sie an diese Unterlagen gelangen konnte. Aufwendig wurden alle Arbeitsabläufe der betroffenen Station überprüft. Räume, in denen Patientenunterlagen aufbewahrt werden, wurden zusätzlich gesichert.
- Ein Patient wartet in einem Behandlungsraum der Notfallambulanz eines Krankenhauses zwei Stunden lang auf den Arzt. Er ist allein. In dem Raum befindet sich ein Computer, und dieser ist nicht gesperrt. Der Patient hat damit Zugang zu den Daten sämtlicher Patienten des Krankenhauses. Zukünftig werden alle unbeaufsichtigten Computer automatisch gesperrt.
Was
ist zu tun?
Kommt es zu einer Verletzung des
Schutzes personenbezogener Daten, muss der Verantwortliche prüfen, welche
Schäden für die betroffenen Personen drohen, und die erforderlichen Maßnahmen
ergreifen, um den schon eingetretenen Schaden zu begrenzen und weitere Schäden
zu verhindern. Dazu gehört auch die Prüfung, ob der Vorfall an die
Datenschutzaufsichtsbehörde zu melden ist und die betroffenen Personen zu
informieren sind.
5.6.1 Versendung von Urinbeuteln und Abgabe bei der Nachbarin
Im Herbst 2017 erreichte das ULD ein Hinweis auf die Verwendung von Paketaufdrucken mit Hinweisen zum Paketinhalt. Demnach wurde mitgeteilt, dass im Rahmen der Versendung einer Bestellung von Urinbeuteln der vom Unternehmen genutzte Versandkarton beidseitig mit zwei großen Etiketten versehen wurde, auf denen detailliert, übersichtlich und mehrsprachig der Inhalt der Sendung angegeben wurde.
Da Empfänger häufig nicht persönlich anwesend sind, um eigenhändig die Warensendung in Empfang zu nehmen, ist es bei den Paketzustellern weit verbreitet, dass sie bei Abwesenheit die Sendung gegebenenfalls bei den Nachbarn hinterlassen.
In dem vorliegenden Fall führte dies dazu, dass die bisher ahnungslose Nachbarin von der Inkontinenz des Betroffenen erfuhr, da dieser zum Zeitpunkt der Lieferung nicht vor Ort war und der Paketzusteller die Sendung der Nachbarin übergab.
Gründe für eine Erforderlichkeit der Angabe des Inhaltes auf der äußeren Verpackung konnten vom Unternehmen in dem daraufhin eingeleiteten Verfahren nicht vorgetragen werden. Da durch die Angabe des Inhaltes gegebenenfalls auch der Gesundheitszustand des Empfängers hergeleitet werden kann, handelte es sich um besonders sensible Informationen, die entsprechend besonders schützenswert sind. Des Weiteren kann eine Warenversendung in der Regel auch ohne Angabe des Inhaltes auf der äußeren Verpackung erfolgen.
Nach Mitteilung des Unternehmens habe eine Lagerkraft trotz eingehender Schulung versehentlich einen mit dem entsprechenden Etikett versehenen leeren Karton aus der Anlieferung für den Versand wiederverwendet, obwohl diese zu entsorgen oder nur für unkritische Zwecke zu verwenden seien.
Der Vorfall wurde vom Unternehmen als Anlass genommen, die
Verfahrensweisen im Versand anzupassen und nunmehr zusätzliche Umkartons als
neutrale Verpackungen einzusetzen. Darüber hinaus wurden auch die mit dem Versand
betrauten Mitarbeiterinnen und Mitarbeiter nochmals entsprechend geschult.
5.6.2 Entsorgung von Kundenunterlagen in der Papiertonne eines Mehrfamilienhauses
Nach Entfall des ursprünglichen Erhebungszweckes und Ablauf etwaiger Aufbewahrungsfristen sind neben der elektronischen Löschung auch die betreffenden schriftlichen Dokumente und Unterlagen regelmäßig zu vernichten. In diesem Zusammenhang erhielt das ULD Kenntnis von sensiblen Kundenunterlagen, die in einer gemeinsam genutzten Papiertonne eines Mehrfamilienhauses entsorgt wurden.
Das betreffende Unternehmen hatte als einer der Nutzer des Mehrfamilienhauses die Unterlagen ungeschreddert in der dortigen Papiertonne entsorgt, sodass die übrigen Bewohnerinnen und Bewohner auf personenbezogene Kundendaten wie beispielsweise Name, Vorname, Telefonnummer, Wohnadresse, Geburtsdatum und Beruf zugreifen konnten.
Löschen / Vernichten
Sowohl das „Löschen“ als auch das
„Vernichten“ bilden einen eigenen Verarbeitungsvorgang im Sinne des
Art. 4 Nr. 2 DSGVO.
Ein betriebsinternes Löschkonzept sollte neben konkreten Angaben über die Speicherdauer (bzw. Kriterien für die Festlegung der Dauer) auch Regelungen zur datenschutzkonformen Dokumentenentsorgung enthalten.
Darüber hinaus sind in diesem auch Verfahren zur Entsorgung externer Speichermedien wie CD-ROMs, DVDs, USB-Sticks und externen Festplatten festzulegen.
Nachdem das Unternehmen darauf hingewiesen wurde, dass es verpflichtet ist, auch für die Entsorgung geeignete technisch-organisatorische Maßnahmen zu treffen, um eine Offenlegung zu verhindern, teilte dieses mit, für die Entsorgung nunmehr einen eigenen abschließbaren Papiercontainer sowie einen Schredder zu nutzen und die Mitarbeiterinnen und Mitarbeiter entsprechend informiert und sensibilisiert zu haben.
Was ist zu tun?
Ein Löschkonzept sollte
die Art und Menge der zu entsorgenden Datenträger, die dabei zu berücksichtigenden
Schutzstufen, die Auswahl geeigneter Vernichtungsverfahren, Vernichtungszyklen
sowie Festlegungen zur Kontrolle der Maßnahmen, der Verantwortlichkeiten und
eventueller Haftungen beinhalten.
5.6.3 Verwendung offener E-Mail -Verteiler
Seit Geltung der DSGVO erhält das ULD immer wieder Kenntnis von Fällen, in denen Verantwortliche E-Mail-Nachrichten an eine Vielzahl von Empfängern in einer Art und Weise aussenden, dass sämtliche angesprochene E-Mail-Adressen für alle anderen Empfänger der E-Mail sichtbar waren (sogenannter offener E-Mail-Verteiler). Dies geschieht in einigen Fällen offenbar in Unkenntnis der Funktionen des E‑Mail-Clients.
Die Verarbeitung personenbezogener Daten ist gemäß Art. 6 Abs. 1 DSGVO nur zulässig, wenn dafür eine gesetzliche Grundlage oder die Einwilligung der betroffenen Personen vorliegt. Verantwortliche haben dafür Sorge zu tragen, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung (Art. 5 Abs. 1 Buchst. f DSGVO). Dazu sind u. a. geeignete technische und organisatorische Maßnahmen wahrzunehmen, um sicherzustellen, dass eine Verarbeitung personenbezogener Daten gemäß der DSGVO erfolgt.
Bei einer Vielzahl der verwendeten E-Mail-Adressen handelt es sich um solche, die im Format Vorname.Nachname oder ähnlich gestaltet sind. Für die Übermittlung der E-Mail-Adressen an die jeweils anderen Empfänger ist in den hier bearbeiteten Fällen keine Rechtsgrundlage gegeben.
Es mangelt offensichtlich an einer hinreichenden Sensibilisierung der Beschäftigten im Umgang mit personenbezogenen Daten und somit an hinreichenden organisatorischen Maßnahmen, die sicherstellen, dass Beschäftigte, die Umgang mit personenbezogenen Daten haben, bei der Erledigung von alltäglichen Vorgängen hinreichende Kenntnis von den Funktionalitäten der eingesetzten Datenverarbeitungsanlagen haben. Dabei ist zu berücksichtigen, dass es sich bei den Verantwortlichen teilweise um Berufsgeheimnisträger oder solche Verantwortlichen handelt, die in besonderem Maße dafür Sorge zu tragen haben, dass die von ihnen verarbeiteten personenbezogenen Daten rechtmäßig verarbeitet werden, da sie z. B. als Kreditinstitute personenbezogene Daten mit Bezug zu Bankgeschäften verarbeiten oder als politische Parteien personenbezogene Daten besonderer Kategorien verarbeiten.
Der Umstand, dass E-Mail-Adressen betroffener Personen auf solchen (offenen) E-Mail-Verteilern sichtbar für alle Empfänger sind, stellt ein Risiko für die persönlichen Rechte und Freiheiten der betroffenen natürlichen Personen dar. In mehreren Fällen wurde unter Abwägung insbesondere der Art, Schwere und Dauer des Verstoßes, dem Grad der Fahrlässigkeit, der Art und Weise, wie der Verstoß bekannt geworden ist, und unter Berücksichtigung der ergriffenen Maßnahmen zur Minderung des eventuell entstandenen Schadens von den zur Verfügung stehenden Abhilfemaßnahmen aus Art. 58 Abs. 2 DSGVO das Mittel der Verwarnung gewählt.
Was ist zu tun?
Verantwortliche müssen dafür Sorge
tragen, dass personenbezogene E-Mail-Adressen nicht unbefugt Dritten zur
Kenntnis gegeben werden. Hierfür kann die BCC-Funktion in E-Mail-Programmen
genutzt werden. Unternehmen sind gehalten, ihre Beschäftigten zu unterweisen,
bei der Kommunikation mittels E-Mail entsprechend sorgsam umzugehen und die
Adressen nicht unbefugt zu offenbaren. Zur Wahrung der Rechenschaftspflichten
kann es für Verantwortliche ratsam sein, schriftliche Arbeitsanweisungen zum
Umgang mit E-Mail an die Beschäftigten weiterzureichen.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |